Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 "Об обеспечении защиты персональных данных"




НазваниеПисьмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 "Об обеспечении защиты персональных данных"
страница4/13
Дата публикации26.03.2014
Размер0.84 Mb.
ТипДокументы
skachate.ru > Информатика > Документы
1   2   3   4   5   6   7   8   9   ...   13
^

5. Понижение требований по защите персональных данных путем сегментирования информационных систем персональных данных



Сегментирование заключается в разделении сетевой ИСПДн на несколько сегментов для уменьшения требований и упрощения защиты персональных данных. Оно позволяет:

- децентрализовать обработку персональных данных 2-й категории и понизить класс сегментов ИСПДн до К3, если количество субъектов персональных данных превышает 1000 человек, или если они не принадлежат организации-оператору.

- уменьшить количество защищаемых АРМ в распределенных ИСПДн.

Данный способ на практике является одним из основных.

При сегментировании ИСПДн на взаимодействующие по сети подсистемы следует иметь ввиду, что класс системы в целом равен наиболее высокому классу ее подсистем (сегментов). Поэтому простое разделение на ИСПДн подсистемы без ограничения их взаимодействия не снижает требования по защите персональных данных.

Простейшим способом ограничения взаимодействия сегментов является их физическое (гальваническое) изолирование друг от друга. Альтернативным способом сегментирования является использование сертифицированных ФСТЭК России межсетевых экранов. Однако на практике оба эти способа сопряжены с приобретением дополнительного серверного оборудования и программного обеспечения и повышенными затратами на администрирование и технологическое сопровождение сегментированной ИСПДн. Поэтому наиболее целесообразно сегментировать слабо взаимодействующие подсистемы ИСПДн, например, кадрового и бухгалтерского учета персонала и подсистемы обеспечения учебного процесса с обменом данными между ними с помощью съемных носителей.

Более эффективно осуществлять сегментирование до отдельных рабочих мест в сочетании с обезличиванием действующей ИСПДн. При этом затраты на эксплуатацию единой обезличенной ИСПДн не увеличиваются, а хранить кодификаторы ФИО (или их части) можно непосредственно на тех рабочих станциях, на которых персональные данные визуализируются. Если ИСПДн не является распределенной и не подключена к Интернет, то мероприятия по защите отдельных рабочих мест не потребуют больших затрат.

Наиболее сложной является защита персональных данных в распределенных ИСПДн. Поэтому пересылку персональных данных по сетям общего пользования целесообразно осуществлять только в обезличенном виде, а обмен кодификаторами ФИО - курьерским способом. Это позволит избежать классификации и защиты распределенных ИСПДн.

^

6. Уменьшение требований к защите информации путем отключения ИСПДн от сетей общего пользования



Подключение ИСПДн к сетям общего пользования, в том числе Интернет, требует дополнительных средств защиты даже в том случае, если передача персональных данных по ним не предусмотрена. Для уменьшения требований и затрат на защиту информации целесообразно изолировать от Интернет все локальные сетевые ИСПДн.

Если персоналу необходим доступ в Интернет, то наиболее просто предусмотреть для этого дополнительные компьютеры (например, устаревшие), не подключая их к ИСПДн.

При невозможности размещения дополнительных рабочих станций требуются дополнительные сертифицированные ФСТЭК России средства защиты подключенных к Интернет персональных компьютеров, если они обрабатывают персональные данные.

Средства защиты информации (сертифицированная операционная система или специализированные средства) не должны разрешать одному и тому же зарегистрированному пользователю обрабатывать персональные данные и выходить в Интернет. Должны быть также разграничены разделы дисковой памяти и сменные носители информации. Выбор и настройка сертифицированных средств защиты информации могут осуществляться системными администраторами образовательных учреждений при консультировании со специалистами в области информационной безопасности. При этом один виртуальный пользователь (со своим логином и паролем) получает возможность выхода в Интернет, а другой - работать с персональными данными. Этими пользователями может быть одно и тоже физическое лицо. По сравнению с выделенными АРМ, изолированными от Интернет, затраты на защиту персональных данных в нераспределенных ИСПДн 3 класса для многопользовательских АРМ с разными правами пользователей увеличиваются незначительно.

Для уменьшения требований к защите информации типовые ИСПДн (системы бухгалтерского и кадрового учета 1С, Парус и др.) рекомендуется изолировать от сети Интернет. При обработке персональных данных в пределах организации такие системы, как правило, будут соответствовать нераспределенным ИСПДн класса К3. При этом лицензий ФСТЭК России от оператора персональных данных не требуется, а защита данных осуществляется типовыми широко распространенными средствами.

Загрузку обновленных антивирусных баз данных, а также программ и форм персонифицированного учета и отчетности целесообразно осуществлять на других компьютерах, подключенных к сети Интернет. Безопасный перенос загруженных файлов в изолированные от Интернет локальные ИСПДн может осуществляться с использованием маркированных съемных носителей, в обязательном порядке проверяемых антивирусными средствами перед загрузкой в ИСПДн.

Официально распространяемые территориальными органами ФНС России и Пенсионного фонда России программы при соблюдении требований информационной безопасности в изолированных ИСПДн класса К3 могут использоваться при подготовке данных персонифицированного учета. При этом сформированные данные персонализированного учета должны выгружаться из ИСПДн на съемные маркированные носители. Незащищенная пересылка по сети Интернет данных, содержащих ФИО физических лиц, недопустима! Исключение могут составлять сведения, идентифицирующие работников только по ИНН, личному коду пенсионного страхования и другим кодам, без передачи ФИО физических лиц.

1   2   3   4   5   6   7   8   9   ...   13

Похожие:

Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 29 июля 2009 г. N...
В дополнение к настоящему письму см письмо Рособразования от 22 октября 2009 г. N 17-187
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 22 октября 2009 г....
Федеральное агентство по образованию напоминает, что все действующие информационные системы, обрабатывающие персональные данные,...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПисьмо Федерального агентства по образованию от 29 июля 2009 г. N 17-110...
Федерального закона Российской Федерации от 26. 07. 2006 г. N 152-фз "О персональных данных" должны соответствовать требованиям данного...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПостановление от 17 ноября 2007 г. N 781 об утверждении положения...
Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" icon2. документы, содержащие сведения, составляющие персональные данные
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПоложение об организации работы с персональными данными работников...
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconОтчет о результатах проведения внутренней проверки информационной...
Лёня – оператор персональных данных юридическое лицо, совместно с другими лицами организующее и осуществляющее обработку персональных...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconПоложение о работе с персональными данными работников и обучающихся
Фз «О персональных данных» и гл. 14 «Защита персональных данных работника» Трудового кодекса РФ для обеспечения порядка обработки...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconЗакон от 27. 07. 2006 года №152-фз «О персональных данных»
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том...
Письмо Федерального агентства по образованию от 22 октября 2009 г. N 17-187 \"Об обеспечении защиты персональных данных\" iconСогласие на обработку персональных данных кандидата на включение...
Федерального закона от 27. 07. 2006. №152-фз «О персональных данных» оператору отделу по работе с общественными организациями и молодежью...

Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2014
контакты
skachate.ru
Главная страница