- Гост р 56600-2021 плиты предварительно напряженные железобетонные дорожные. технические условия (с изменением n 1) от 01 октября 2021 –
- Классы скзи
- Комплекс услуг по созданию с нуля системы защиты персональных данных
- Контроль и проверка использования скзи
- Мероприятия для обеспечения безопасности пдн
- Меры по защите персональных данных по 152-фз
- Меры по защите персональных данных по приказу фстэк №21
- Модель угроз безопасности пдн: пример
- Обязанности оператора
- Определение уровня защищенности пдн
- Рекомендации по защите персональных данных
- Условия для обработки пдн
Гост р 56600-2021 плиты предварительно напряженные железобетонные дорожные. технические условия (с изменением n 1) от 01 октября 2021 –
ГОСТ Р 56600-2021
ОКС 91.080.40
Дата введения 2021-04-01
1 РАЗРАБОТАН Научно-исследовательским институтом ЗАО “Союздорнии” и ООО “НПц Стройтех”
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 465 “Строительство”
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 октября 2021 г. N 1421-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 ПЕРЕИЗДАНИЕ. Ноябрь 2021 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2021 г. N 162-ФЗ “О стандартизации в Российской Федерации”. Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе “Национальные стандарты”, а официальный текст изменений и поправок – в ежемесячном информационном указателе “Национальные стандарты”. В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя “Национальные стандарты”. Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
ВНЕСЕНО Изменение N 1, утвержденное и введенное в действие приказом Федерального агентства по техническому регулированию и метрологии от 11.08.2020 N 490-ст c 01.01.2021
Изменение N 1 внесено изготовителем базы данных по тексту ИУС N 10, 2020
1.1 Настоящий стандарт распространяется на предварительно напряженные железобетонные плиты размерами 6 х 2 м, изготовляемые из тяжелого бетона (далее – плиты).
1.2 Плиты предназначены для устройства сборных покрытий автомобильных дорог, в том числе в местах со сложными грунтово-гидрологическими и климатическими условиями, в районах с расчетной температурой воздуха наиболее холодного месяца до минус 55°С (СП 131.13330) при соблюдении требований, предъявляемых СП 28.13330 к конструкциям, предназначенным для эксплуатации в этих условиях.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты и документы:
ГОСТ 12.1.005 Система стандартов безопасности труда. Общие санитарно-гигиенические требования к воздуху рабочей зоны
ГОСТ 12.1.007 Система стандартов безопасности труда. Вредные вещества. Классификация и общие требования безопасности
ГОСТ 12.3.002 Система стандартов безопасности труда. Процессы производственные. Общие требования безопасности
ГОСТ 12.3.009 Система стандартов безопасности труда. Работы погрузочно-разгрузочные. Общие требования безопасности
ГОСТ 6727 Проволока из низкоуглеродистой стали холоднотянутая для армирования железобетонных конструкций. Технические условия
ГОСТ 7348 Проволока из углеродистой стали для армирования предварительно напряженных железобетонных конструкций. Технические условия
ГОСТ 7473 Смеси бетонные. Технические условия
ГОСТ 8267 Щебень и гравий из плотных горных пород для строительных работ. Технические условия
ГОСТ 8568 Листы стальные с ромбическим и чечевичным рифлением. Технические условия
ГОСТ 8736 Песок для строительных работ. Технические условия
ГОСТ 8829 Изделия строительные железобетонные и бетонные заводского изготовления. Методы испытаний нагружением. Правила оценки прочности, жесткости и трещиностойкости
ГОСТ 10060 Бетоны. Методы определения морозостойкости
ГОСТ 10178 Портландцемент и шлакопортландцемент. Технические условия
ГОСТ 10180 Бетоны. Методы определения прочности по контрольным образцам
ГОСТ 10181 Смеси бетонные. Методы испытаний
ГОСТ 12730.1 Бетоны. Методы определения плотности
ГОСТ 12730.3 Бетоны. Метод определения водопоглощения
ГОСТ 12730.5 Бетоны. Методы определения водонепроницаемости
ГОСТ 13015 Изделия бетонные и железобетонные для строительства. Общие технические требования. Правила приемки, маркировки, транспортирования и хранения
ГОСТ 13087 Бетоны. Методы определения истираемости
ГОСТ 17623 Бетоны. Радиоизотопный метод определения средней плотности
ГОСТ 17624 Бетоны. Ультразвуковой метод определения прочности
ГОСТ 17625 Конструкции и изделия железобетонные. Радиационный метод определения толщины защитного слоя бетона, размеров и расположения арматуры
ГОСТ 18105 Бетоны. Правила контроля и оценки прочности
ГОСТ 22266 Цементы сульфатостойкие. Технические условия
ГОСТ 22362 Конструкции железобетонные. Методы измерения силы натяжения арматуры
ГОСТ 22690 Бетоны. Определение прочности механическими методами неразрушающего контроля
ГОСТ 22904 Конструкции железобетонные. Магнитный метод определения толщины защитного слоя бетона и расположения арматуры
ГОСТ 23279 Сетки арматурные сварные для железобетонных конструкций и изделий. Общие технические условия
ГОСТ 23732 Вода для бетонов и строительных растворов. Технические условия
ГОСТ 23858 Соединения сварные стыковые и тавровые арматуры железобетонных конструкций. Ультразвуковые методы контроля качества. Правила приемки
ГОСТ 24211 Добавки для бетонов и строительных растворов. Общие технические условия
ГОСТ 25192 Бетоны. Классификация и общие технические требования
ГОСТ 26433.1 Система обеспечения точности геометрических параметров в строительстве. Правила выполнения измерений. Элементы заводского изготовления
ГОСТ 26633 Бетоны тяжелые и мелкозернистые. Технические условия
ГОСТ 30108 Материалы и изделия строительные. Определение удельной эффективной активности естественных радионуклидов
ГОСТ 31108 Цементы общестроительные. Технические условия
ГОСТ 31384 Защита бетонных и железобетонных конструкций от коррозии. Общие технические требования
ГОСТ 34028 Прокат арматурный для железобетонных конструкций. Технические условия
ГОСТ Р 52544 Прокат арматурный свариваемый периодического профиля классов А500С и В500С для армирования железобетонных конструкций. Технические условия
ГОСТ Р 53772 Канаты стальные арматурные семипроволочные стабилизированные. Технические условия
ГОСТ Р 55224 Цементы для транспортного строительства. Технические условия
ГОСТ Р 57997 Арматурные и закладные изделия сварные, соединения сварные арматуры и закладных изделий железобетонных конструкций. Общие технические условия
ГОСТ Р 58577 Правила установления нормативов допустимых выбросов загрязняющих веществ проектируемыми и действующими хозяйствующими субъектами и методы определения этих нормативов
СП 28.13330 “СНиП 2.03.11-85 Защита строительных конструкций от коррозии”
СП 34.13330.2021 “СНиП 2.05.02-85* Автомобильные дороги”
СП 131.13330 “СНиП 23-01-99* Строительная климатология”
Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных документов в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю “Национальные стандарты”, который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя “Национальные стандарты” за текущий год. Если заменен ссылочный документ, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный документ, на который дана датированная ссылка, то рекомендуется использовать версию этого документа с указанным выше годом утверждения (принятия). Если после утверждения настоящего документа в ссылочный документ, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку. Сведения о действии сводов правил целесообразно проверить в Федеральном информационном фонде технических регламентов и стандартов.
(Измененная редакция, Изм. N 1).
В настоящем стандарте применены следующие термины с соответствующими определениями.
3.1 плиты предварительно напряженные железобетонные дорожные: Плиты, в которых натяжение напрягаемой арматуры обеспечивает необходимую степень обжатия бетона в процессе их изготовления и эксплуатации, предназначенные для устройства сборных дорожных покрытий.
3.2 стенд непрерывного безопалубочного формования для изготовления предварительно напряженных железобетонных плит: Технологическая линия, предназначенная для натяжения напрягаемой арматуры на всю длину, непрерывного распределения, уплотнения и формования бетонной смеси в скользящей опалубке, тепловлажностной обработки и разрезки бетона на плиты заданной длины.
4.1 Плиты обозначают маркой, которая состоит из буквенно-цифровых групп, разделенных дефисами.
В маркировке плиты буквы и цифры означают:
ПДН-14 – плита дорожная предварительно напряженная толщиной 140 мм.
ПДН-18 – плита дорожная предварительно напряженная толщиной 180 мм.
Плиты подразделяются на типы в зависимости от назначения:
1ПДН-14 (18) – для устройства автомобильных (постоянных) дорог.
2ПДН-14 (18) – для временных дорог.
(Измененная редакция, Изм. N 1).
4.2 Для соединения плит между собой при устройстве покрытия в них по продольным граням предусмотрены стыковые скобы, свариваемые при монтаже. Скобы одновременно являются монтажными элементами для подъема краном.
4.3 В плитах 1ПДН-14 и 1ПДН-18 в торцах должны быть предусмотрены стыковые пластины, которые объединены со скобами в единый арматурный элемент.
4.4 Плиты для временных дорог изготовляют без стыковых пластин. В этих плитах ниши для стыковых пластин допускается не устраивать.
4.5 Формы и основные размеры плит должны соответствовать указанным на рисунках 1–6.
Классы скзи
Согласно приказу ФСБ России от 10 июля 2021 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ №378) в соответствии с уровнем защищенности персональных данных, обрабатываемых в информационных системах персональных данных, должен быть определен класс СКЗИ.
Классы СКЗИ и соответствующие возможности нарушителей согласно приказу ФСБ № 378 представлены в таблице 1.
СКЗИ определенного класса применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных для предыдущего класса и не менее одной данного класса.
Каждый следующий класс СКЗИ включает в себя возможности нарушителей предыдущего класса.
Таблица 1 – Классы СКЗИ и соответствующие возможности нарушителей
Класс СКЗИ | Возможности нарушителей |
|---|---|
КС1 | Создание способов, подготовка и проведение атак без привлечения специалистов в области разработки и анализа СКЗИ |
Создание способов, подготовка и проведение атак на различных этапах жизненного цикла СКЗИ | |
Проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств (далее – контролируемая зона) | |
Проведение на этапах разработки (модернизации), производства, хранения, транспортировки СКЗИ и этапе ввода в эксплуатацию СКЗИ (пусконаладочные работы) следующих атак: | |
Проведение атак на этапе эксплуатации СКЗИ на: | |
Получение из находящихся в свободном доступе источников (включая информационно-телекоммуникационные сети, доступ к которым не ограничен определенным кругом лиц, в том числе информационно-телекоммуникационную сеть “Интернет”) информации об информационной системе, в которой используется СКЗИ. При этом может быть получена следующая информация:
| |
Применение: | |
Использование на этапе эксплуатации в качестве среды переноса от субъекта к объекту (от объекта к субъекту) атаки действий, осуществляемых при подготовке и (или) проведении атаки: | |
Проведение на этапе эксплуатации атаки из информационно-телекоммуникационных сетей, доступ к которым не ограничен определенным кругом лиц, если информационные системы, в которых используются СКЗИ, имеют выход в эти сети. | |
Использование на этапе эксплуатации находящихся за пределами контролируемой зоны АС и ПО из состава средств информационной системы, применяемых на местах эксплуатации СКЗИ (далее – штатные средства). | |
КС2 | Проведение атаки при нахождении в пределах контролируемой зоны. |
Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: | |
Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: | |
Использование штатных средств, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | |
КС3 | Физический доступ к СВТ, на которых реализованы СКЗИ и СФ. |
Возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | |
КВ | Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО. |
Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий. | |
Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ. | |
КА | Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО. |
Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ. | |
Возможность располагать всеми аппаратными компонентами СКЗИ и СФ. |
Комплекс услуг по созданию с нуля системы защиты персональных данных
В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).
Организационные мероприятия:
- оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
- моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ
Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:
- поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
- настройка средств и систем защиты информации в соответствии с требованиями
Дополнительные мероприятия:
- аттестация информационной системы персональных данных
- помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)
Контроль и проверка использования скзи
Контроль использования СКЗИ, применяемых для обеспечения безопасности ПДн, проводится на основании следующих нормативно-методических документов (в том числе с учетом информационного письма ФСБ России от 21.06.2021 «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»):
- федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152);
- приказ ФСБ России от 10 июля 2021 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – приказ ФСБ № 378);
- приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (далее – Положение ПКЗ-2005);
- «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152 (далее – приказ ФАПСИ №152);
- «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2021).
В подготовке к самой проверке ФСБ особого смысла нет. Построение комплексной системы защиты персональных данных – процесс, требующий времени и определенных компетенций. Наличие документов (например: приказов, инструкций, журналов) необходимо, но для проверки этого недостаточно.
Необходимо осуществлять ведение журналов и систематически проводить проверки по исполнению положений локально-нормативных актов, регламентирующих эксплуатацию СКЗИ. В случае отсутствия таких процедур подготовка к проверке приведет к пустой трате времени, а проверяющие все равно выявят все ошибки эксплуатации СКЗИ, способных впоследствии привести к утере, несанкционированному доступу, уничтожению и блокированию ПДн.
Федеральная служба безопасности проверяет условия обработки и защиты персональных данных с использованием средств криптографической защиты информации. Более детальная информация приведена в таблице 2.
Таблица 2 – Соответствие требований и перечня предоставляемых документов
Проверяемые требования | Перечень предоставляемых документов | Примечание | |
|---|---|---|---|
1. | Организация системы организационных мер защиты персональных данных. | Приказы: | |
Другие: | Смысл данного приказа заключается в обосновании выбора класса СКЗИ. | ||
2. | Организация системы криптографических мер защиты информации. | ||
3. | Разрешительная и эксплуатационная документация на СКЗИ. | Следует предоставлять в печатном виде. | |
4. | Требования к обслуживающему персоналу (требование к лицам, допущенным к работе). | Инструкции: | |
5. | Эксплуатация СКЗИ | Акты: | В процессе изучения актов проверяющими будут интервьюироваться сотрудники, работающие с данными информационными системами. Тут уже важно то, насколько уместно и корректно они будут отвечать на задаваемые им вопросы. |
Следует опечатать рабочие станции | |||
Журналы: | |||
6. | Оценка соответствия применяемых СКЗИ | ||
7. | Организационные меры | Необходимо иметь сигнализацию и сейфы во всех помещениях, где установлены средства криптографической защиты. |
Перечисленные требования и перечень предоставляемых документов составлены на основании «Типового регламента проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Руководством 8 Центра ФСБ России 08 августа 2009 года № 149/7/2/6-1173.
С целью прохождения проверки ФСБ оператор при эксплуатации СКЗИ в обязательном порядке должен:
- Обеспечивать контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, согласно эксплуатационной документации производителя.
- Обеспечивать контроль за актуальностью сертификата соответствия ФСБ России и лицензии на применяемое СКЗИ.
- Издавать локально-нормативные акты, регламентирующие порядок, правила обращения и обслуживания СКЗИ.
- Обеспечивать физическую защиту средств вычислительной техники, содержащих СКЗИ или их компоненты, аппаратных СКЗИ и ключевых носителей информации.
- Ограничивать физический и логический доступ к СКЗИ и ключевым носителям информации.
- Обеспечивать контроль соответствия положений организационно-распорядительной документации реальным условиям эксплуатации СКЗИ и информационной системы персональных данных в целом.
- Обеспечивать контроль работоспособности и правильности функционирования СКЗИ.
Мероприятия для обеспечения безопасности пдн
Мероприятия, необходимые для обеспечения безопасности персональных данных, должны быть реализованы с учетом особенностей инфраструктуры информационной системы персональных данных, актуальных угроз безопасности персональным данным и в соответствии с требованиями нормативно-правовых документов, упомянутых выше.
Мы бы рекомендовали провести полное обследование всей информационной инфраструктуры, оттолкнувшись от которого можно грамотно построить план по защите персональных данных организации. Далее сделать акцент на подготовке документов именно к проверке ФСБ, а также провести необходимые работы по монтажу, установке и настройке средств защиты информации.
Стоит отметить, что монтаж и установку СКЗИ может производить исключительно организация, осуществляющая работы по лицензируемым видам деятельности согласно Постановлению Правительства Российской Федерации от 16 апреля 2021 г. № 313 «Об утверждении положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
При нарушении требований по обеспечению персональных данных, предусмотренных нормативно-правовыми актами, предусмотрена административная ответственность. Для физического лица, как правило, в среднем предусмотрены штрафы около тысячи – двух тысяч рублей, для юридического лица – от двадцати тысяч рублей.
При подготовке к проверке регулятора к типовым нарушениям относятся:
– Отсутствие актуального сертификата соответствия СКЗИ;
– Отсутствие журналов учета или нерегулярное их заполнение;
– Отсутствие дистрибутивов СКЗИ, формуляров, документов;
– Недостаточные меры по обеспечению физической защиты;
– Использование СКЗИ класса ниже необходимого.
– Некорректно разработанная модель угроз.
Меры по защите персональных данных по 152-фз
Для охраны персональных данных 152 фз перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:
- установить возможные опасности для ПДн;
- принять организационные и технические меры для охраны ПДн;
- эксплуатировать средства защиты информации (СЗИ), прошедшие проверку;
- оценить действенность принятых мер до запуска системы;
- регистрировать носители ПДн;
- выявлять случаи незаконного доступа к ПДн;
- восстанавливать ПДн при необходимости;
- установить порядок допуска к ПДн;
- регистрировать все операции, которые происходят с ПДн;
- назначить лицо, которое будет нести ответственность за обработку ПДн.
Меры по защите персональных данных по приказу фстэк №21
ПДн обрабатываются посредством системы (ИСПДн). Ее необходимо обезопасить от утечки или незаконного доступа. Защита ПДн при обработке в ИСПДн подразумевает ряд мероприятий, которые указаны в пункте 2 приказа ФСТЭК №21 от 18.02.2021 г. В их число входят:
- распознавание лиц, имеющих доступ к ПДн;
- эксплуатация только разрешенного ПО;
- учет и охрана носителей ПДн;
- учет событий, угрожающих ПДн;
- антивирусная защита;
- выявление фактов незаконного доступа;
- анализ безопасности ПДн;
- защита ИСПДн;
- защита систем связи и передачи ПДн.
Следует учесть, что для разных классов ИСПДн требования отличаются. Поэтому важно правильно определить класс системы. Для этого нужно учитывать категорию ПДн и их объем. Существует 4 категории ПДн:
- категория 4 – общедоступные ПДн;
- категория 3 – ПДн, которые позволяют опознать лицо;
- категория 2 – ПДн, которые позволяют опознать лицо и узнать о нем новые сведения;
- категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.
Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:
- 3 – менее 1000,
- 2 – от 1000 до 100000,
- 1 – более 100000.
Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:
- 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
- 2 класс: нарушение безопасности ПДн может нанести чувствительный урон. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
- 3 класс: нарушение безопасности ПДн может нанести незначительный урон. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
- 4 класс: нарушение безопасности ПДн не нанесет урон. Сюда относятся ПДн 4 категории любого объема.
Защита ПДн в ИСПДн 1 класса осуществляется при помощи СЗИ не ниже 4 класса, для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.
Перед запуском ИСПДн необходимо аттестовать. Аттестация – комплекс проверочных мероприятий, целью которых является оценка системы на соответствие нормам информационной безопасности.
Модель угроз безопасности пдн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
- внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
- внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Обязанности оператора
Главная обязанность оператора – обеспечить безопасность ПДн. Для этого он должен разработать положение, устанавливающие стратегию обработки ПДн, и ознакомить с ним сотрудников. В документе необходимо указать:
- состав ПДн;
- цели сбора ПДн;
- виды носителей ПДн;
- технологию обработки и хранения ПДн;
- список лиц, имеющих доступ;
- ответственность за разглашение ПДн.
Также нужно разработать акты, которые описывают меры, предпринимаемые оператором для исключения утечки ПДн.
Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.
Определение уровня защищенности пдн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2021 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Рекомендации по защите персональных данных
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
Условия для обработки пдн
Условия для обработки ПДн, описанные в 152-фз, включают в себя согласие субъекта на обработку и сбор ПДн только в установленном объеме и для установленной законной цели. Ответственность за защиту ПДн несет оператор, даже если обработкой занимается другое лицо.
Согласие субъекта является непреложным правилом для обработки ПДн. Это относится к клиентам и работникам. В согласии должны быть указаны: ФИО субъекта; номер паспорта и сведения о нем; наименование оператора; цель сбора ПДн; список ПДн и список операций, которые будут с ними проводиться; срок хранения ПДн и условия отзыва согласия.