Выбор средств защиты персональных данных

5. Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники

4.2.2.
Защищаемые помещения должны размещаться
в пределах КЗ. При этом рекомендуется
размещать их на удалении от границ КЗ,
обеспечивающем эффективную защиту,
ограждающие конструкции (стены, полы,
потолки) не должны являться смежными с
помещениями других учреждений
(предприятий).

Не
рекомендуется располагать ЗП на первых
этажах зданий.

Для
исключения просмотра текстовой и
графической конфиденциальной информации
через окна помещения рекомендуется
оборудовать их шторами (жалюзи).

4.2.3.
Защищаемые помещения рекомендуется
оснащать сертифицированными по
требованиям безопасности информации
ОТСС и ВТСС либо средствами, прошедшими
специальные исследования и имеющими
предписание на эксплуатацию.

Эксплуатация
ОТСС, ВТСС должна осуществляться в
строгом соответствии с предписаниями
и эксплутационной документацией на
них.

4.2.4.
Специальная проверка ЗП и установленного
в нем оборудования с целью выявления
возможно внедренных в них электронных
устройств перехвата информации «закладок»
проводится, при необходимости, по решению
руководителя предприятия.

Выбор средств защиты персональных данных

4.2.5.
Во время проведения конфиденциальных
мероприятий запрещается использование
в ЗП радиотелефонов, оконечных устройств
сотовой, пейджинговой и транкинговой
связи, переносных магнитофонов и других
средств аудио и видеозаписи. При установке
в ЗП телефонных и факсимильных аппаратов
с автоответчиком или спикерфоном, а
также аппаратов с автоматическим
определителем номера, следует отключать
их из сети на время проведения этих
мероприятий.

4.2.6.
Для исключения возможности утечки
информации за счет электроакустического
преобразования рекомендуется использовать
в ЗП в качестве оконечных устройств
телефонной связи, имеющих прямой выход
в городскую АТС, телефонные аппараты
(ТА), прошедшие специальные исследования,
либо оборудовать их сертифицированными
средствами защиты информации от утечки
за счет электроакустического
преобразования.

4.2.7.
Для исключения возможности скрытного
проключения ТА и прослушивания ведущихся
в ЗП разговоров не рекомендуется
устанавливать в них цифровые ТА цифровых
АТС, имеющих выход в городскую АТС или
к которой подключены абоненты, не
являющиеся сотрудниками учреждения
(предприятия).

В
случае необходимости, рекомендуется
использовать сертифицированные по
требованиям безопасности информации
цифровые АТС либо устанавливать в эти
помещения аналоговые аппараты.

4.2.8.
Ввод системы городского радиотрансляционного
вещания на территорию учреждения
(предприятия) рекомендуется осуществлять
через радиотрансляционный узел (буферный
усилитель), размещаемый в пределах
контролируемой зоны.

Предлагаем ознакомиться:  Если не живешь по месту временной регистрации

При
вводе системы городского радиовещания
без буферного усилителя в ЗП следует
использовать абонентские громкоговорители
в защищенном от утечки информации
исполнении, а также трехпрограммные
абонентские громкоговорители в режиме
приема 2-й и 3-й программы (с усилителем).

В
случае использования однопрограммного
или трехпрограммного абонентского
громкоговорителя в режиме приема первой
программы (без усиления) необходимо их
отключать на период проведения
конфиденциальных мероприятий.

4.2.9.
В случае размещения электрочасовой
станции внутри КЗ использование в ЗП
электровторичных часов (ЭВЧ) возможно
без средств защиты информации

При
установке электрочасовой станции вне
КЗ в линии ЭВЧ, имеющие выход за пределы
КЗ, рекомендуется устанавливать
сертифицированные средства защиты
информации.

4.2.10.
Системы пожарной и охранной сигнализации
ЗП должны строиться только по проводной
схеме сбора информации (связи с пультом)
и, как правило, размещаться в пределах
одной с ЗП контролируемой зоне.

В
качестве оконечных устройств пожарной
и охранной сигнализации в ЗП рекомендуется
использовать изделия, сертифицированные
по требованиям безопасности информации,
или образцы средств, прошедшие специальные
исследования и имеющие предписание на
эксплуатацию.

4.2.11.
Звукоизоляция ограждающих конструкций
ЗП, их систем вентиляции и кондиционирования
должна обеспечивать отсутствие
возможности прослушивания ведущихся
в нем разговоров из-за пределов ЗП.

Проверка
достаточности звукоизоляции осуществляется
аттестационной комиссией путем
подтверждения отсутствия возможности
разборчивого прослушивания вне ЗП
разговоров, ведущихся в нем.

При
этом уровень тестового речевого сигнала
должен быть не ниже используемого во
время штатного режима эксплуатации
помещения.

Для
обеспечения необходимого уровня
звукоизоляции помещений рекомендуется
оборудование дверных проемов тамбурами
с двойными дверями, установка дополнительных
рам в оконных проемах, уплотнительных
прокладок в дверных и оконных притворах
и применение шумопоглотителей на выходах
вентиляционных каналов.

Если
предложенными выше методами не удается
обеспечить необходимую акустическую
защиту, следует применять
организационно-режимные меры, ограничивая
на период проведения конфиденциальных
мероприятий доступ посторонних лиц в
места возможного прослушивания
разговоров, ведущихся в ЗП.

4.2.12.
Для снижения вероятности перехвата
информации по виброакустическому каналу
следует организационно-режимными мерами
исключить возможность установки
посторонних (нештатных) предметов на
внешней стороне ограждающих конструкций
ЗП и выходящих из них инженерных
коммуникаций (систем отопления,
вентиляции, кондиционирования).

Для
снижения уровня виброакустического
сигнала рекомендуется расположенные
в ЗП элементы инженерно-технических
систем отопления, вентиляции оборудовать
звукоизолирующими экранами.

4.2.13.
В случае, если указанные выше меры защиты
информации от утечки по акустическому
и виброакустическому каналам недостаточны
или нецелесообразны, рекомендуется
применять метод активного акустического
или виброакустического маскирующего
зашумления.

Предлагаем ознакомиться:  Производственная характеристика места работы включающая сведения об условиях и характере труда

Для
этой цели должны применяться
сертифицированные средства активной
защиты.

4.2.14.
При эксплуатации ЗП необходимо
предусматривать организационно-режимные
меры, направленные на исключение
несанкционированного доступа в помещение:

  • двери
    ЗП в период между мероприятиями, а также
    в нерабочее время необходимо запирать
    на ключ;

  • выдача
    ключей от ЗП должна производиться
    лицам, работающим в нем или ответственным
    за это помещение;

  • установка
    и замена оборудования, мебели, ремонт
    ЗП должны производиться только по
    согласованию и под контролем подразделения
    (специалиста) по защите информации
    учреждения (предприятия).

Что это означает на практике?

Если оператор ПД берет папку с персональными сведениями и удаляет ее с компьютера – это автоматизированная обработка. Если оператор заполняет с помощью клавиатуры формуляр для каждого клиента-субъекта ПДн – это неавтоматизированная работа. Споры возникает относительно хранения сведений в компьютере – ведущую роль здесь играет формат хранения – групповой, предусматривающий авто-операции, или индивидуальный – для обработки каждого документа отдельно от остальных.

Нюансы

Следует отметить, что особенности неавтоматической обработки указаны в Постановлении российского Правительства № 678.

Они охватывают нормативы, определяющие, как сведения должны храниться, использоваться и обрабатываться.

  • Выбор средств защиты персональных данныхОбособление. ПД необходимо хранить отдельно от иных ведомостей, это можно реализовать при помощи фиксации данных на отдельных материальных носителях, в специальных разделах. Если персональные сведения собирались с разными целями обработки и заведомо несовместимы, следует для каждой категории данных использовать свой материальный носитель.
  • Информирование сотрудников. Лица, на которых возлагается функция работы с ПДн, должны быть проинформированы о том, с какой информацией они столкнулись (речь идет о категории информации, особенностях и правилах обработки, установленных государством или локальными актами).
  • Оформление материального носителя. Допускается использование типовых форм, формуляров и бланков, однако при выполнении следующих условий:
    1. Указание сведений о цели обработки, наименования оператора, адреса компании, ФИО и адреса субъекта ПДн, источника получения ведомостей, сроках обработки. Кроме этого, форма должна содержать перечень действий, планируемых к осуществлению с данными и общее описание способов, используемых при работе с информацией.
    2. Наличие поля, предназначенного для отметки субъекта ПД о своем согласии на предоставление сведений конфиденциального характера оператору.
    3. Реализация возможности ознакомления субъекта ПД со своими персональными данными, при этом, важно, чтобы у такого субъекта не было доступа к ПДн других граждан.
    4. Отсутствие объединенных полей для данных, собранных с разными целями.
  • Ведение журнала с ПД. Если оператору необходимо вести журнал ПДн для организации однократных пропусков субъектов на свою территорию, следует выполнять определенные условия:
    1. разработать акт, в котором указать цели, способы, сроки работы с ПДн и перечень людей, имеющих к нему доступ;
    2. заносить данные не более одного раза при оформлении одного пропуска;
    3. не копировать их.
  • Использование части ПД на материальном носителе. Не допускается распространение материального носителя, если планируется использовать только часть сведений. В таком случае закон требует от оператора скопировать нужную часть, и обеспечить конфиденциальность другой половины ведомостей.
Предлагаем ознакомиться:  Акт обследования дорожных условий при ДТП

Пошаговая инструкция

Разработка нормативного акта, регулирующего процесс обработки ПД.

  1. Назначение ответственных за работу с информацией лиц.
  2. Информирование ответственных лиц о факте обработки ими конфиденциальной информации, их обязанностях, функциях и запрещенных действиях.
  3. Разработка помещения для хранения конфиденциальных данных, журнала (при необходимости), бланков, специальных форм или материальных носителей.
  4. Взятие у субъектов ПД разрешения на обработку информации.
  5. Фиксация данных на материальном носителе (при этом, важно обеспечить выполнение норматив относительно хранения таких данных – чтобы конфиденциальные сведения хранились отдельно от информации, собранной с иными целями).
  6. Обработка данных.
  7. Уничтожение или обезличивание сведений после завершения работы с данными.

Особенности положения ПДн

Положение об обработке ПДн – это документ, в котором

оператор

определяет особенности процесса, меры обеспечения безопасности данных и другие особенности работы. Составлять его следует на основе одноименного документа, принятого правительством РФ.

В обязательном порядке в документ по ПД включаются следующие разделы:

  1. Порядок обработки данных.
  2. Особенности обеспечения безопасности.
  3. Порядок предоставления доступа.
  4. Обязанности специалистов, допущенных к работе с ПДн.

Как видите, для определения порядка обработки сведений конфиденциального характера вручную в России было принято специальное постановление правительства. В нем указано, в каких случаях обработку следует считать неавтоматизированной, и как работать с материальными носителями информации.

Перед началом обработки сведений необходимо разработать нормативный акт, проконсультировать работников и позаботиться о том, чтобы материальный носитель отвечал основным требованиям, прописанным в современном законодательстве.

Ссылка на основную публикацию
Adblock detector