Защита персональных данных на автоматизированном рабючем месте

Аттестация арм по требованиям информационной безопасности

При использовании ПВЭМ с ВДТ на базе ЭЛТ (без вспомогательных устройств – принтера, сканера и др.), отвечающих требованиям международных стандартов безопасности компьютеров, с продолжительностью работы менее 4 часов в день допускается минимальная площадь 4,5 м² на одно рабочее место пользователя. · Для внутренней отделки интерьера помещений, где расположены ПЭВМ, должны использоваться диффузно отражающие материалы с коэффициентом отражения для потолка 0,7–0,8;

для стен – 0,5–0,6; для пола – 0,3–0,5. · Полимерные материалы используются для внутренней отделки интерьера помещений с ПЭВМ при наличии санитарно-эпидемиологического заключения. · Помещения, где размещаются рабочие места с ПЭВМ, должны быть оборудованы защитным заземлением (занулением) в соответствии с техническими требованиями по эксплуатации.

5. Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники

4.2.2.
Защищаемые помещения должны размещаться
в пределах КЗ. При этом рекомендуется
размещать их на удалении от границ КЗ,
обеспечивающем эффективную защиту,
ограждающие конструкции (стены, полы,
потолки) не должны являться смежными с
помещениями других учреждений
(предприятий).

Не
рекомендуется располагать ЗП на первых
этажах зданий.

Для
исключения просмотра текстовой и
графической конфиденциальной информации
через окна помещения рекомендуется
оборудовать их шторами (жалюзи).

4.2.3.
Защищаемые помещения рекомендуется
оснащать сертифицированными по
требованиям безопасности информации
ОТСС и ВТСС либо средствами, прошедшими
специальные исследования и имеющими
предписание на эксплуатацию.

Эксплуатация
ОТСС, ВТСС должна осуществляться в
строгом соответствии с предписаниями
и эксплутационной документацией на
них.

Защита персональных данных на автоматизированном рабючем месте

4.2.4.
Специальная проверка ЗП и установленного
в нем оборудования с целью выявления
возможно внедренных в них электронных
устройств перехвата информации «закладок»
проводится, при необходимости, по решению
руководителя предприятия.

4.2.5.
Во время проведения конфиденциальных
мероприятий запрещается использование
в ЗП радиотелефонов, оконечных устройств
сотовой, пейджинговой и транкинговой
связи, переносных магнитофонов и других
средств аудио и видеозаписи. При установке
в ЗП телефонных и факсимильных аппаратов
с автоответчиком или спикерфоном, а
также аппаратов с автоматическим
определителем номера, следует отключать
их из сети на время проведения этих
мероприятий.

4.2.6.
Для исключения возможности утечки
информации за счет электроакустического
преобразования рекомендуется использовать
в ЗП в качестве оконечных устройств
телефонной связи, имеющих прямой выход
в городскую АТС, телефонные аппараты
(ТА), прошедшие специальные исследования,
либо оборудовать их сертифицированными
средствами защиты информации от утечки
за счет электроакустического
преобразования.

4.2.7.
Для исключения возможности скрытного
проключения ТА и прослушивания ведущихся
в ЗП разговоров не рекомендуется
устанавливать в них цифровые ТА цифровых
АТС, имеющих выход в городскую АТС или
к которой подключены абоненты, не
являющиеся сотрудниками учреждения
(предприятия).

Предлагаем ознакомиться:  Правила парковки в Москве для инвалидов. Какие льготы есть для инвалидов при парковке в Москве?

В
случае необходимости, рекомендуется
использовать сертифицированные по
требованиям безопасности информации
цифровые АТС либо устанавливать в эти
помещения аналоговые аппараты.

4.2.8.
Ввод системы городского радиотрансляционного
вещания на территорию учреждения
(предприятия) рекомендуется осуществлять
через радиотрансляционный узел (буферный
усилитель), размещаемый в пределах
контролируемой зоны.

При
вводе системы городского радиовещания
без буферного усилителя в ЗП следует
использовать абонентские громкоговорители
в защищенном от утечки информации
исполнении, а также трехпрограммные
абонентские громкоговорители в режиме
приема 2-й и 3-й программы (с усилителем).

В
случае использования однопрограммного
или трехпрограммного абонентского
громкоговорителя в режиме приема первой
программы (без усиления) необходимо их
отключать на период проведения
конфиденциальных мероприятий.

4.2.9.
В случае размещения электрочасовой
станции внутри КЗ использование в ЗП
электровторичных часов (ЭВЧ) возможно
без средств защиты информации

При
установке электрочасовой станции вне
КЗ в линии ЭВЧ, имеющие выход за пределы
КЗ, рекомендуется устанавливать
сертифицированные средства защиты
информации.

4.2.10.
Системы пожарной и охранной сигнализации
ЗП должны строиться только по проводной
схеме сбора информации (связи с пультом)
и, как правило, размещаться в пределах
одной с ЗП контролируемой зоне.

В
качестве оконечных устройств пожарной
и охранной сигнализации в ЗП рекомендуется
использовать изделия, сертифицированные
по требованиям безопасности информации,
или образцы средств, прошедшие специальные
исследования и имеющие предписание на
эксплуатацию.

4.2.11.
Звукоизоляция ограждающих конструкций
ЗП, их систем вентиляции и кондиционирования
должна обеспечивать отсутствие
возможности прослушивания ведущихся
в нем разговоров из-за пределов ЗП.

Проверка
достаточности звукоизоляции осуществляется
аттестационной комиссией путем
подтверждения отсутствия возможности
разборчивого прослушивания вне ЗП
разговоров, ведущихся в нем.

При
этом уровень тестового речевого сигнала
должен быть не ниже используемого во
время штатного режима эксплуатации
помещения.

Для
обеспечения необходимого уровня
звукоизоляции помещений рекомендуется
оборудование дверных проемов тамбурами
с двойными дверями, установка дополнительных
рам в оконных проемах, уплотнительных
прокладок в дверных и оконных притворах
и применение шумопоглотителей на выходах
вентиляционных каналов.

Если
предложенными выше методами не удается
обеспечить необходимую акустическую
защиту, следует применять
организационно-режимные меры, ограничивая
на период проведения конфиденциальных
мероприятий доступ посторонних лиц в
места возможного прослушивания
разговоров, ведущихся в ЗП.

Защита персональных данных на автоматизированном рабючем месте

4.2.12.
Для снижения вероятности перехвата
информации по виброакустическому каналу
следует организационно-режимными мерами
исключить возможность установки
посторонних (нештатных) предметов на
внешней стороне ограждающих конструкций
ЗП и выходящих из них инженерных
коммуникаций (систем отопления,
вентиляции, кондиционирования).

Для
снижения уровня виброакустического
сигнала рекомендуется расположенные
в ЗП элементы инженерно-технических
систем отопления, вентиляции оборудовать
звукоизолирующими экранами.

4.2.13.
В случае, если указанные выше меры защиты
информации от утечки по акустическому
и виброакустическому каналам недостаточны
или нецелесообразны, рекомендуется
применять метод активного акустического
или виброакустического маскирующего
зашумления.

Предлагаем ознакомиться:  Могут ли ребенка лишить места в детском саду из-за безработных родителей

Для
этой цели должны применяться
сертифицированные средства активной
защиты.

4.2.14.
При эксплуатации ЗП необходимо
предусматривать организационно-режимные
меры, направленные на исключение
несанкционированного доступа в помещение:

  • двери
    ЗП в период между мероприятиями, а также
    в нерабочее время необходимо запирать
    на ключ;

  • выдача
    ключей от ЗП должна производиться
    лицам, работающим в нем или ответственным
    за это помещение;

  • установка
    и замена оборудования, мебели, ремонт
    ЗП должны производиться только по
    согласованию и под контролем подразделения
    (специалиста) по защите информации
    учреждения (предприятия).

Аттестация рабочих мест

Конструкция рабочего стола должна обеспечивать оптимальное размещение на рабочей поверхности используемого оборудования с учетом его количества и конструктивных особенностей, характера выполняемой работы. Поверхность рабочего стола должна иметь коэффициент отражения 0,5–0,7.

· Конструкция рабочего стула (кресла) должна обеспечивать поддержание рациональной рабочей позы при работе на ПЭВМ, позволять изменять позу с целью снижения статического напряжения мышц шейно-плечевой области и спины для предупреждения развития утомления. · Рабочий стул (кресло) должен быть подъемно-поворотным, регулируемым по высоте и углам наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья, при этом регулировка каждого параметра должна быть независимой, легко осуществляемой и иметь надежную фиксацию.

Аттестация информационных систем

Однако самостоятельно проведенный аудит не дает гарантии того, что у проверяющих органов не возникнет вопросов. Преимущество аттестации в том, что аттестат, выданный организацией-лицензиатом ФСТЭК и ФСБ, дает гарантию соответствия требованиям по защите ПДн.

Легитимность аттестации можно обосновать тем, что в настоящий момент не установлен технический регламент по защите информации ограниченного доступа, что позволяет руководствоваться п. 2. ст. 46 закона № 184-ФЗ «О техническом регулировании»: «До дня вступления в силу соответствующих технических регламентов обязательная оценка соответствия осуществляется в соответствии с правилами и процедурами, установленными нормативными правовыми актами РФ и нормативными документами федеральных органов исполнительной власти, принятыми до дня вступления в силу настоящего Федерального закона».

  • на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 г. № 282.

Информация, содержащая государственную тайну Информация, содержащая служебную тайну

  • на соответствие требованиям нормативно-методического документа «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденного приказом Гостехкомиссии России от 30.08.2002 г. № 282;
  • на соответствие требованиям документа Положение По аттестации объектов информатизации по требованиям безопасности информации.

Обязательная аттестация автоматизированных информационных систем требуется для получения лицензии ФСТЭК или ФСБ.Ответственность работодателя за нарушение правил охраны труда при работе за ПК можно условно разделить на два вида: ответственность за вред, причиненный здоровью работника, который будет возмещаться по нормам трудового и гражданского законодательства, и административная ответственность за нарушение требований по охране труда.

Учитывая, что статьей 219 ТК РФ предусмотрено, что работник имеет право на получение от работодателя достоверной информации об условиях и охране труда на рабочем месте, о существующем риске повреждения здоровья, а также о мерах по защите от воздействия вредных производственных факторов, установление причинно-следственной связи между вредными условиями труда и недомоганием / ухудшением здоровья у работника будет являться причиной для возмещение вреда здоровью.

Тематические статьи

  • Внутренняя документация организации (личные дела и трудовые книжки сотрудников, сведения об отчетах, направляемых в органы статистики, сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности и др.)
  • Информация о Контрагентах (анкетные данные, материалы переписки с организациями, телефонные справочники, сведения о телефонных переговорах, почтовых отправлениях, телеграфных или иных сообщениях и так далее, отчеты, в которых содержатся персональные данные о гражданах (фамилия, имя, отчество и другая информация, предназначенная для установления контактов) и др.).
Предлагаем ознакомиться:  Заявдение приставам по месту жительства или регистрации

Невыполнение требований ФЗ №152 может привести к крайне негативным последствиям для Вашего бизнеса, регулярным штрафам или приостановке деятельности.

Аттестация компьютера для работы с персональными данными

Для того чтобы определить наличие или отсутствие воздействия того или иного вредного фактора на организм работника, необходимо оценить не только сам компьютер (наличие сертификата безопасности), но также иные факторы: само помещение, где расположены рабочие места с компьютерами, и рабочие процессы (сколько времени сотрудник проводит за ПК, какую работу он выполняет и т.п.).

Определяя, какие факторы воздействия ПК являются нормальными, необходимо руководствоваться следующими стандартами: · СанПиН 2.2.2/2.4.1340–03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы» (далее – Санитарные правила); · СанПин 2.2.4.1294–03 «Гигиенические требования к аэроионному составу воздуха в общественных помещениях» (далее – Гигиенические требования к составу воздуха).

Критерии и классификация условий труда. Руководство Р 2.2.2006–05», утв. главным государственным санитарным врачом Российской Федерации 29 июля 2005 г. (далее – Руководство 2.2.2006–05). Исходя из степени отклонения фактического уровня факторов рабочей среды и трудового процесса от гигиенических нормативов условия труда по степени вредности и опасности условно подразделяются на четыре класса: 1) оптимальные, 2) допустимые, 3) вредные, 4) опасные (экстремальные).

Инфо

Соответственно при оптимальных и допустимых условиях труда воздействие вредных факторов отсутствует, что должно подтверждаться протоколом аттестационной комиссии, а начиная с 3-го класса такое воздействие имеет место. При этом 3-й класс имеет четыре степени отклонений условий труда от нормальных.

Ссылка на основную публикацию
Adblock detector