К ВОПРОСУ О ПРАВОВОМ РЕГУЛИРОВАНИИ РАБОТЫ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Авторы: Лапшова М.А.1
-
Учреждения:
- Самарский университет
- Выпуск: № 2 (9) (2016)
- Страницы: 107-109
- Раздел: 1
- Дата публикации: 15.12.2016
- URL: https://vmuis.ru/smus/article/view/8565
- ID: 8565
Цитировать
Полный текст
Аннотация
Очень важно грамотно подходить к созданию защищённой информационной системы, которая обрабатывает персональные данные. В настоящее время сложно представить себе организацию, которой бы не пришлось работать с ними. Для обеспечения безопасности персональных данных при их обработке в информационных системах, необходимы как организационные, так и технические меры защиты. Базовый набор этих мер определяется, исходя из уровня защищённости персональных данных, который необходимо обеспечить. В данной работе приведён план анализа информационной системы персональных данных с целью определения необходимого уровня её защищённости на основании характеристик этой системы. Также рассмотрены возможные способы обеспечения информационной безопасности.
Полный текст
В настоящее время сложно представить себе организацию, которой бы не пришлось работать с персональными данными. Фамилии, имена, ИНН, СНИЛС предоставляются сейчас практически везде. Куда бы Вы ни обратились, вероятнее всего, Вас попросят предъявить паспорт. Поэтому крайне важно грамотно подойти к созданию защищённой информационной системы, которая обрабатывает персональные данные. Отношения, которые связаны с обработкой персональных данных, регулируются Федеральным законом Российской Федерации № 152-ФЗ «О персональных данных» [1]. Также не стоит забывать и о персональных данных сотрудников организации, работа с которыми ведётся постоянно и в большом объёме, особенно в отделе кадров и в бухгалтерии. В этом случае необходимо руководствоваться Трудовым Кодексом Российской Федерации, главой 14 [2]. При проектировании системы безопасности первым действием должно быть назначено ответственное лицо и выпущен соответствующий приказ о назначении. Далее устанавливается, какие данные, и в каком объёме будут обрабатываться в информационной системе. Это нужно для того, чтобы определить круг лиц, которым необходимо предоставить доступ к персональным данным, а также, чтобы составить и утвердить модель нарушителя и модель угроз. Для обеспечения безопасности персональных данных при их обработке в информационных системах необходимы как организационные, так и технические меры защиты. Базовый набор этих мер определяется, исходя из уровня защищённости персональных данных, который необходимо обеспечить [3]. Всего выделяется четыре уровня, четвёртый - наиболее слабый. Для определения необходимого уровня защищённости персональных данных нужно знать тип актуальных угроз безопасности персональных данных, какие категории данных обрабатывает информационная система (общедоступные, специальные, биометрические или иные персональные данные), а также количество субъектов персональных данных, не являющихся сотрудниками оператора (более или менее 100 000 субъектов). Зная эти данные, по Постановлению Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяется необходимый уровень защищённости (пункты 9-12 Постановления Правительства РФ № 1119). Чтобы узнать тип актуальных угроз, обратимся к пунктам 6-7 Постановления Правительства РФ № 1119. Всего классифицируют три типа угроз. Они отличаются наличием недекларированных возможностей в системном или прикладном программном обеспечении. В приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных подробно описаны меры, которые необходимо осуществить для каждого уровня защищённости. Также помимо минимальных требований для большей надежности можно дополнять защиту другими мерами, которые не предусмотрены базовым списком. Для всех уровней защищённости к информационным системам, обрабатывающим персональные данные, необходимо ограничить физический доступ. Для этого рекомендуется устанавливать двери с замками, решётки на окнах, постоянную охрану, а также ввести пропускной режим. Главное требование по выбору средств защиты информации - это наличие сертификата. Только при этом условии возможна правомерная работа с персональными данными. В открытом доступе можно получить перечень средств защиты информации, которые были сертифицированы. Также следует обратить внимание на стоимость средств и набор возможных способов защиты в одном комплексе. Зачастую использование более дорогого составного программного обеспечения выгоднее, чем покупка отдельных модулей. Ещё одно преимущество покупки комплекса программно-аппаратных средств защиты - это отсутствие проблем с совместимостью его частей. Практически все меры по обеспечению безопасности персональных данных, относящиеся к программно-аппаратному обеспечению, можно осуществлять с помощью Secret Net. Это сертифицированное средство защиты, которое может работать как с операционной системой Windows, так и с Linux/GNU. Этот комплекс широко распространён, так как очень удобен в использовании. Многие проблемы, связанные с защитой персональных данных, решаются покупкой одного такого средства защиты. Также комплекс некоторых мер из списка можно проводить с помощью аппаратно-программного модуля «Соболь», который тоже сертифицирован. Антивирусная защита должна быть организованна, независимо от уровня защищённости данных. Сертифицированные средства, которые можно применять при работе с персональными данными: Kaspersky Endpoint Security, Dr. Web Desktop Security Suite, ESET NOD32 SECURE Enterprise newsale. Межсетевой экран (например, CheckPoint) обеспечит безопасный доступ к сети Internet. Он контролирует и фильтрует все пакеты, как входящие в сеть, так и исходящие из неё, по заданным правилам. CheckPoint также прошел процедуру сертифицирования. Возможности межсетевого экрана есть и в Secret Net. Для первого и второго уровня защищённости необходимо вести учёт носителей персональных данных, а также управлять доступом к ним. Для этого используются организационные меры, такие как создание и ведение журнала учёта носителей персональных данных, а также программное обеспечение для ограничения доступа. Съёмные носители следует хранить в сейфе или металлическом ящике. Также следует предусмотреть периодическое резервное копирование персональных данных на резервные носители. Таким образом, для достижения цели необходимо назначить ответственное лицо, определить необходимый уровень защищённости персональных данных, выбрать средства защиты информации и подготовить соответствующий пакет документов. Защита персональных данных - это одна из наиболее важных задач в современном мире. Каждый человек хочет, чтобы его личные данные были в безопасности и обрабатывались только в действительно необходимых случаях. Поэтому государство уделяет особое внимание созданию законодательства в сфере информационной безопасности, которое регламентирует проектирование надлежащим образом защищённых информационных систем персональных данных, а также поддерживает их в безопасности.×
Об авторах
Марина Александровна Лапшова
Самарский университет
Email: lapshova.marina.smr@gmail.com
443086, Россия, г. Самара, Московское шоссе, 34
Список литературы
- Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» [Электронный ресурс]. Доступ из справ.-правовой системы «КонсультантПлюс».
- Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 03.07.2016) [Электронный ресурс]. Доступ из справ.-правовой системы «КонсультантПлюс».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. Доступ из справ.-правовой системы «Консультант-Плюс».
Дополнительные файлы
