авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 2 | 3 || 5 |

«УДК 351.71; 352(075.8) ББК 66.033.141; 65.050.23я73 МИНОБРНАУКИ РОССИИ ...»

-- [ Страница 4 ] --

В настоящее время Закон № 63-ФЗ вступил в силу, но ряд статей из него начинает действовать только с 1 июля 2012, а до этого момента действует Федеральный закон РФ от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи», и все имеющиеся нормативные акты были подготовлены с учетом норм этого закона. Закон № 1-ФЗ, безусловно, явился серьезным шагом в дальнейшем развитии электронного документооборота, хотя он и имеет некоторые недостатки. Так, статей 3 Закона № 1-ФЗ установлено, что владельцем сертификата ключа ЭЦП (т.е. тем, кто проставляет ЭЦП) является физическое лицо, а не организация. То есть организация оформляет ЭЦП на свое определенное должностное лицо. В этом случае возникают риски того, что после увольнения (а в условиях экономического кризиса эта вероятность велика) данное должностное лицо может совершить мошеннические действия от имени организации.

Другая ситуация связана с тем, что в случае отсутствия физического лица (отпуск, командировка, болезнь и т.п.) его сертификатом ключа может воспользоваться кто-либо из коллег или это может быть сделано по поручению руководства организации с целью подписания контракта или иных документов. В этих случаях велика вероятность того, что сделку могут признать ничтожной.

В настоящее время арбитражные суды в основном исходят из формальных признаков в отношении контрактов, то есть требуется их оформление на бумажном носителе, наличие подписей, печатей. Не всегда арбитражные суды принимают в качестве доказательства контракт в электронной форме в качестве доказательства правомерности действий одной из сторон. На практике, чтобы представить в качестве доказательства «электронный контракт» с ЭЦП, необходимо распечатать его скриншот с экрана в присутствии нотариуса и получить заверительную подпись этого же нотариуса на распечатанном документе. Также надо будет представить в качестве доказательства документы, подтверждающие факт наличия у должностного лица сертификата ключа подписи и внутренние документы организации, подтверждающие факт того, что данный сотрудник обладал правом подписывать ЭЦП-контракты.

Важнейшим фактом, определяющим возможность представлению в суды контрактов и иных документов, подписанных ЭЦП, является наличие соглашений между сторонами об использовании электронного документооборота.

В части 4 статьи 2 Закона № 63-ФЗ указывается, что владельцем сертификата ключа проверки ЭЦП является лицо, которому выдан сертификат проверки ключа ЭЦП.

Данный закон устанавливает следующие виды электронных подписей: простую и усиленную. Последняя подразделяется на квалифицированную усиленную подпись и неквалифицированную электронную подпись. Простой электронной подписью является подпись, которая путем использования кодов, паролей или иных средств подтверждает факт формирования ЭЦП определенным лицом. Такая подпись является подписью физического (должностного) лица.

Согласно статье 5 Закона № 63-ФЗ, неквалифицированной электронной подписью является подпись, которая получена в результате криптографического преобразования информации с использованием ключа ЭЦП. Также неквалифицированная электронная подпись позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений или дополнений в документ уже после его подписания ЭЦП.

Квалифицированная электронная подпись выполняет те же функции, но защищена более надежно. В соответствии со статьей 9 Закона № 63-ФЗ соглашения между участниками электронного взаимодействия устанавливают случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанных собственноручной подписью. При этом такие соглашения должны предусматривать правила определения лица, подписавшего электронный документ, по его простой электронной подписи и обязанность данного лица соблюдать конфиденциальность. То есть использование ЭЦП без письменного согласия физических лиц не допускается. Квалифицированная ЭЦП признается действительной до ее отмены решением суда (ст. 11 Закона № 63-ФЗ). Таким образом, Закон № 63-ФЗ снижает риски противоправных действий с незаконным использованием ЭЦП.

Наибольшую проблему вызывает требование статьи 4 Закона № 1-ФЗ доказать момент подписания документа ЭЦП и правомочность должностного лица, проставившего ЭЦП.

Таким подтверждением могут быть: приказ о наделении должностного лица полномочиями проставлять ЭЦП на электронных документах, а в случае если ЭЦП наделен руководитель организации, то его приказ по организации о том, какие документы составляются в электронном виде и подписываются ЭЦП;

соглашения с контрагентами об электронном документообороте, в котором указано, кем и какие документы заверяются ЭЦП.

При этом главным будет правильное оформление всех необходимых документов.

Момент подписания электронного документа определяется с помощью программных продуктов. Если передача электронных документов сторонами осуществляется через специализированную организацию, использующую средства криптографической защиты для передачи конфиденциальной информации, в этом случае будет достаточно сделать официальный запрос – и можно будет получить информацию о времени совершения ЭЦП.

В настоящее время существуют следующие устройства хранения закрытого ключа:

Дискеты • Смарт-карты • USB-брелоки • таблетки Touch-Memory • Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван.

Наиболее защищенный способ хранения закрытого ключа — хранение на смарт карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. После этого подписываемый документ или его хэш передается в карту, её процессор осуществляет подписывание хеша и передает подпись обратно. В процессе формирования подписи таким способом не происходит копирования закрытого ключа, поэтому все время существует только единственная копия ключа. Кроме того, произвести копирование информации со смарт-карты сложнее, чем с других устройств хранения.

В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам.

2.8. Федеральное законодательство, регулирующее обработку персональных данных.

Защита персональных данных при их автоматизированной обработке.

Персональные данные (или личные данные) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными Обработку персональных данных регламентируют следующие нормативно правовые акты Российской федерации:

1. Федеральный закон 2006 г. №149-ФЗ «Об информации, информатизации и защите информации»

2. Федеральный закон 2006 г. №152-ФЗ «О персональных данных»

3. Постановление правительства РФ от 17 ноября 2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

4. Постановление правительства РФ от 15 сентября 2008 г. №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

5. Документы уполномоченных федеральных органов (ФСТЭК, ФСБ):

- Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных»;

«Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года;

«Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года;

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года;

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года.

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных.

Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года.

Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Рисунок 28. Структура федеральных нормативно-правовых актов, регламентирующих обработку персональных данных Федеральным законом № 152-ФЗ «О персональных данных» обозначаются основные принципы обработки персональных данных:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Таким образом, мы видим, что законом четко обозначено, что объем и перечень собираемых данных должен соответствовать целям обработки в соответствии с полномочиями оператора. Избыточность и обработка данных «про запас» законом не допускается.

Обработка персональных данных допускается в следующих случаях:

1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных 2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4. обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее персональные данные, сделанные общедоступными субъектом персональных данных);

11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Таким образом, Федеральным законом прописаны основные основания для обработки оператором персональных данных субъекта. Если посмотреть на изменения в законодательстве по обработке персональных данных этот перечень постоянно изменяется и возможны дальнейшее расширение оснований для обработки персональных данных.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (статья 18 ФЗ №152-ФЗ).

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора).

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно 4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами (в том числе статья 65 ТК РФ).

Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

Виды обработки персональных данных Под обработкой персональных данных понимают любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Выделяют обработку персональных данных на материальных носителях без использования средств автоматизации, автоматизированную и смешанную обработку персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Обязанности оператора Под оператором понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Обеспечение безопасности персональных данных должно достигаться, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (РОСКОМНАДЗОР) о своем намерении осуществлять обработку персональных данных, за исключением обработки следующих категорий персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Категории персональных данных и классификация информационных систем персональных данных.

Федеральный закон «О персональных данных» выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности.

Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных, которые обрабатываются в ИСПД:

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Классификация информационных систем персональных данных производится В соответствии с приказом ФСТЭК России №55, ФСБ России №86 и Мининформсвязи России №20 от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных». ИСПДн подразделяются на следующие классы:

класс 1 (К1) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (КЗ) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Класс информационной системы определяется в соответствии с таблицей.

Таблица 7 – Класс ИСПДн Категория ПДн Объем ПДн до 1000 от 1000 до 100000 более категория 4 К4 К4 К категория 3 К3 К3 К категория 2 К3 К2 К категория 1 К1 К1 К Классификация информационных систем проводится оператором, организующим и (или) осуществляющим обработку персональных данных. Проведение классификации завершается оформлением акта классификации информационных систем персональных данных организации, который утверждается руководителем организации.

В акте классификации информационных систем персональных данных должна быть отражении следующая информация:

- структура информационных систем;

- наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;

- режиму обработки персональных данных;

- наличие разграничений прав доступа пользователей информационные системы;

- местонахождения технических средств (все технические средства системы находятся в пределах Российской Федерации, частично или целиком находятся за пределами Российской Федерации).

По структуре информационные системы подразделяются:

- на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

- на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

- на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

Обеспечение безопасности персональных данных, обрабатываемых в информационной системе персональных данных в зависимости от класса системы Мероприятия для защиты от утечки информации по техническим каналам При обработке персональных данных в информационной системе они должна быть обеспечена защита от несанкционированного доступа (в том числе случайного), от утечки по техническим каналам утечки информации.

Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса применяются следующие методы и способы защиты информации:

1. использование технических средств в защищенном исполнении;

2. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

3. размещение объектов защиты в соответствии с предписанием на эксплуатацию;

4. размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;

5. обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

6. обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация.

В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.

При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе.

Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные.

Требования по обеспечению безопасности персональных данных от несанкционированного доступа Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения" дает следующее определение несанкционированного воздействия на информацию:

«Несанкционированное воздействие на информацию - воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации».

Методами и способами защиты информации от несанкционированного доступа являются:

1. реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

2. ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также, хранятся носители информации;

3. разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

4. регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

5. учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

6. резервирование технических средств, дублирование массивов и носителей информации;

7. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

8. использование защищенных каналов связи;

9. размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

10. организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

11. предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

При взаимодействии информационных систем с информационно телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2. настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:

межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

защита информации при ее передаче по каналам связи;

использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

использование средств антивирусной защиты;

централизованное управление системой защиты персональных данных информационной системы.

В общем случае обеспечение безопасности персональных данных от несанкционированного доступа сводится к реализации следующих подсистем в рамках системы защиты персональных данных:

1. управление доступом;

2. регистрация и учет;

3. обеспечение целостности;

Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учёта, обеспечения целостности, анализа защищённости, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы.

Наименьшие требования по обеспечению безопасности персональных данных применяются к 4 классу информационных систем персональных данных – методы и способы защиты персональных данных, а также целесообразность их применения определяются оператором.

Основные требования по защите информационных систем определяются в зависимости от класса и режима обработки данных.

Требования обеспечения безопасности, которые необходимо соблюдать во всех режимах работы информационных систем и для всех классов:

Регистрация времени и даты входа (выхода) пользователя в систему или загрузки операционной системы и ее программной остановки;

Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал;

Физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;

Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности.

Требования обеспечения безопасности при подключении ИСПД к сетям общего пользования При наличии подключения к сетям общего пользования (например, Интернету), возникает большое количество дополнительных потенциальных угроз, требующих нейтрализации. Помимо ранее рассмотренных требований к системе защиты персональных данных законодательство определяет следующий ряд дополнительных требований при подключении информационной системы персональных данных к сетям общего пользования.

1. использование средств антивирусной защиты;

2. межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

3. обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

4. анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

5. защита информации при ее передаче по каналам связи;

6. использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

7. централизованное управление системой защиты персональных данных информационной системы.

Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным • оператором (уполномоченным лицом);

периодический анализ безопасности установленных межсетевых экранов на • основе имитации внешних атак на информационные системы;

активный аудит безопасности информационной системы на предмет • обнаружения в режиме реального времени несанкционированной сетевой активности;

анализ принимаемой по информационно-телекоммуникационным сетям • международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.

Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.

Требования предъявляемые к межсетевым экранам в зависимости от класса информационной системы персональных данных.

Безопасное межсетевое взаимодействие для информационных систем 3 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:

1. фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

2. идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору и паролю условно-постоянного действия;

3. регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

4. контроль целостности своей программной и информационной части;

5. фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

6. восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

7. регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Безопасное межсетевое взаимодействие для информационных систем 2 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:

1. фильтрацию на сетевом уровне независимо для каждого сетевого пакета (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

2. фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

3. фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

4. фильтрацию с учетом любых значимых полей сетевых пакетов;

5. регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

6. идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно постоянного действия;

7. регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

8. регистрацию запуска программ и процессов (заданий, задач);

9. контроль целостности своей программной и информационной части;

10. восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

11. регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Безопасное межсетевое взаимодействие для информационных систем 1 класса при их подключении к сетям международного информационного обмена достигается путем применения средств межсетевого экранирования, которые обеспечивают выполнение следующих функций:

1. фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

2. фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

3. фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

4. фильтрацию с учетом любых значимых полей сетевых пакетов;

5. фильтрацию на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя;

6. фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя;

7. фильтрацию с учетом даты и времени;

8. аутентификацию входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети;

9. регистрацию и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации);

10. регистрацию и учет запросов на установление виртуальных соединений;

11. локальную сигнализацию попыток нарушения правил фильтрации;

12. идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно постоянного действия;

13. предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась;

14. идентификацию и аутентификацию администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации;


15. регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

16. регистрацию запуска программ и процессов (заданий, задач);

17. регистрацию действия администратора межсетевого экрана по изменению правил фильтрации;

18. возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации;

19. контроль целостности своей программной и информационной части;

20. контроль целостности программной и информационной части межсетевого экрана по контрольным суммам;

21. восстановление свойств межсетевого экрана после сбоев и отказов оборудования;

22. регламентное тестирование реализации правил фильтрации, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Для всех классов информационных систем персональных данных при наличии подключения к сетям общего пользования необходимо применять системы обнаружения вторжения, анализа защищенности и антивирусные средства. Системы обнаружения вторжений строятся с учетом возможностей реализации атак и используют сигнатурные методы, методы обнаружения аномалий или комбинированные методы. Для обнаружения вторжений в информационных системах персональных данных 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса – системы, применяющие сигнатурный метод и метод выявления аномалий, так как последний метод является наиболее прогрессивным и позволяет выявить ранее не встречавшиеся нигде атаки. Средства анализа защищенности позволяют найти уязвимости в операционной системе и используемом программном обеспечении, которые могут быть использованы злоумышленником для реализации атаки.

Необходимо отметить, что в отношении информационных систем персональных данных 4 класса оператор сам решает, какие меры и способы защиты применять для обеспечения безопасности персональных данных.

Методы и способы снижения затрат на обеспечение безопасности персональных данных на предприятии.

По результатам первичной классификации информационные системы персональных данных во многих случаях относятся к 1 или 2 классам, требующим существенных затрат на обеспечение безопасности, а так же обязательной аттестации.

Существенно уменьшить обязательные требования и необходимые затраты на защиту персональных данных можно путем обезличивания обрабатываемых персональных данных и сегментирования систем, отключения сегментов информационных систем персональных данных от сетей общего пользования, организации выделенных автоматизированных рабочих мест и использование общедоступных персональных данных.

Основная экономия затрат достигается при этом за счет отключения от сетей общего пользования (в том числе Интернет), изменения классификации сегментов информационных систем персональных данных на К4 с К3 и К2 или с К1 до К2 путем исключения обработки специальных категорий персональных данных, уменьшения количества автоматизированных рабочих мест задействованных в обработке персональных данных.

Наилучшим результатом является обезличивание или исключение из систем всех персональных данных за исключением общедоступных и обоснование соответствия информационной системы 4 классу.

Вторым по эффективности является полное исключение из информационных систем персональных данных 1 категории, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Целесообразно исключить или удалить соответствующие данные, или заменить на условные коды. При необходимости учет персональных данных 1 категории следует осуществлять в форме анкет, справок, личных дел и иных документов только на бумажных носителях.

Информационные системы, обрабатывающие персональные данные 2 и категории, целесообразно вывести из интегрированной информационной системы в отдельные локальные системы и отключить от сетей общего пользования (в том числе Интернет).

Изменение класса информационных систем персональных данных путем обезличивания Обезличивание данных в информационной системе позволяет сохранить действующий порядок доступа пользователей, включая удаленный. Единственным отличием является размещение и использование в обезличенных информационных системах личных кодов вместо Ф.И.О. и иных данных субъектов персональных данных.

При этом нельзя ограничиться обезличиванием вновь вводимых персональных данных, а ранее накопленные оставить в той же базе данных без изменения. Неиспользуемые персональные данные за предшествующие годы целесообразно скопировать на съемные оптические носители и удалить из действующих систем.

Обезличивание является наиболее приемлемым способом приведения в соответствие требованиям законодательства интегрированных многофункциональных и распределенных информационных систем персональных данных, использующих для обмена данными сети общего пользования.

Обезличивание небольших по объему баз данных может осуществляться вручную.

Для обезличивания больших объемов персональных данных целесообразно формировать специальные SQL-запросы.

Важными достоинствами указанного способа обезличивания информации в информационной системе, кроме универсальности, являются:

- сохранение функциональности и сервисного сопровождения обезличиваемых действующих ИСПДн без их программной модернизации;

- использование единого кодификатора;

- возможность децентрализованного использования кодификатора на отдельных АРМ;

- обеспечение надлежащего хранения и использования кодификатора на защищенном встроенном или отдельном внешнем носителе;

Понижение требований по защите персональных данных путем сегментирования информационных систем персональных данных Сегментирование заключается в разделении сетевой информационной системы персональных данных на несколько сегментов для уменьшения требований и упрощения защиты персональных данных. Оно позволяет:

- децентрализовать обработку персональных данных 2-й категории и понизить класс сегментов информационных систем до 3 или, если количество субъектов персональных данных превышает 1000 человек или если они не принадлежат организации-оператору;

- уменьшить количество защищаемых автоматизированных рабочих мест в распределенных информационных системах персональных данных.

Данный способ на практике является одним из основных.

При сегментировании информационных систем персональных данных на взаимодействующие по сети подсистемы следует иметь в виду, что класс системы в целом равен наиболее высокому классу ее подсистем (сегментов). Поэтому простое разделение информационных систем персональных данных на подсистемы без ограничения их взаимодействия не снижает требования по защите персональных данных.

Простейшим способом ограничения взаимодействия сегментов является их физическое (гальваническое) изолирование друг от друга. Альтернативным способом сегментирования является использование сертифицированных ФСТЭК России межсетевых экранов. Однако на практике оба эти способа сопряжены с приобретением дополнительного серверного оборудования и программного обеспечения и повышенными затратами на администрирование и технологическое сопровождение сегментированной информационной системы. Поэтому наиболее целесообразно сегментировать слабо взаимодействующие подсистемы информационной системы персональных данных, например, кадрового и бухгалтерского учета персонала и подсистемы обеспечения учебного процесса с обменом данными между ними с помощью съемных носителей.

Уменьшение требований к защите информации путем отключения информационных систем персональных данных от сетей общего пользования Подключение информационной системы персональных данных к сетям общего пользования, в том числе Интернет, требует дополнительных средств защиты даже в том случае, если передача персональных данных по ним не предусмотрена. Для уменьшения требований и затрат на защиту информации целесообразно изолировать от сетей общего пользования и Интернет все локальные сетевые информационные системы.

Если персоналу необходим доступ в Интернет, то наиболее просто предусмотреть для этого дополнительные компьютеры (например устаревшие), не подключая их к информационной системе персональных данных.

При невозможности размещения дополнительных рабочих станций требуются дополнительные сертифицированные ФСТЭК России средства защиты подключенных к Интернет персональных компьютеров, если они обрабатывают персональные данные.

Средства защиты информации (сертифицированная операционная система или специализированные средства) не должны разрешать одному и тому же зарегистрированному пользователю обрабатывать персональные данные и выходить в Интернет. При этом лицензий ФСТЭК России от оператора персональных данных не требуется, а защита данных осуществляется типовыми широко распространенными средствами.

Загрузку обновленных антивирусных баз данных, а также программ и форм персонифицированного учета и отчетности целесообразно осуществлять на других компьютерах, подключенных к сети Интернет.

Этапы работ, выполняемых оператором по защите персональных данных В целях исполнения требований федеральных документов, регламентирующих обработку персональных данных, оператору рекомендуется придерживаться следующих основных этапов:

Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).


Выделить бизнес-процессы, в которых обрабатываются персональные данные.

Выбрать ограниченное число бизнес-процессов для проведения аналитики.

На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

Определить круг информационных систем и совокупность обрабатываемых ПДн.

Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

Выработать меры по снижению категорий обрабатываемых ПДн.

Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

Подготовить технический проект по защите ИСПДн и помещений.

Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции).

Спроектировать и внедрить систему защиты персональных данных (СЗПДн).

Для обеспечения безопасности персональных данных может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Литература: 1-12, 16-19, 21-32, Тема 3. Информационные технологии в муниципальном управлении 3.1. Комплексное управление муниципальным образованием и муниципальные информационные системы. Информационные системы управления на уровне города Основные направления развития информационных технологий на территориях субъектов Российской Федерации отражены в Концепции региональной информатизации до 2010 года, разработанной Мининформсвязи России с участием заинтересованных федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации. Концепция содержит приоритеты и задачи использования информационных технологий в деятельности органов государственной власти субъектов Российской Федерации и органов местного самоуправления, а также архитектуру «электронного правительства» региона. Проработаны принципы координации реализации региональных программ информатизации с федеральными программами, содержащими мероприятия в области развития и использования информационных технологий.

Определена модель финансирования программ региональной информатизации из средств федерального бюджета.

Согласно концепции, региональная информатизация направлена на повышение эффективности решения задач социально-экономического развития регионов, на обеспечение эффективного функционирования и взаимодействия федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и находящихся в их ведении предприятий и учреждений, на обеспечение информационной открытости и прозрачности деятельности органов управления, а также на формирование инфраструктуры доступа широких слоев населения к информационным технологиям, информационным ресурсам и услугам. Реализация задач региональной информатизации осуществляется на основе создания и развития в субъекте Российской Федерации интегрированной территориальной информационной системы (ТИС), которая представляет собой совокупность информационных систем федеральных органов государственной власти, территориальных органов, органов государственной власти субъекта РФ, органов местного самоуправления, объединенных защищенной информационно-технологической инфраструктурой, а также средств, обеспечивающих их функционирование и взаимодействие.

Таким образом, комплексный подход к информационно-коммуникационному обеспечению государственных органов власти и органов местного самоуправления региона реализуется как проект интегрированной территориальной информационной системы (ТИС), включающий в себя создание информационной системы обеспечения управленческой деятельности, системы «электронного правительства» для обеспечения интерактивной связи с населением, а также налаживание мониторинга находящихся в их ведении организаций по ключевым показателям социально-экономического развития региона. В рамках «электронного правительства» отрабатываются механизмы оказания государственных и муниципальных услуг населению и организациям, решаются вопросы обеспечения доступности для населения информации о деятельности органов государственной власти и органов местного самоуправления, региональных (муниципальных) информационных ресурсов. Использование ИКТ позволяет оптимизировать административно-распорядительную деятельности органов государственной власти и органов местного самоуправления, а также находящихся в их ведении организаций.

Территориальная информационная система (ТИС) представляет собой комплексную интегрированную автоматизированную информационную систему, предназначенную для информационно-аналитической поддержки органов государственного и муниципального управления.

В зависимости от охватываемой территории выделяют следующие ТИС:

• местные (в пределах города, городского района);

• региональные (в пределах области, края, республики, автономного округа);

• государственные (АСУ государственного масштаба, например «Государственный регистр населения»).

При создании ТИС очень важным является проведение мероприятий, которые включают исследование состава и основных характеристик объекта информатизации, целей каждого его элемента, взаимосвязей между ними, связей с внешней средой.

Согласно Федеральному закону № 131-ФЗ от 6 октября 2003 года «Об общих принципах организации местного самоуправления в Российской Федерации», муниципальное образование (МО) – это городское или сельское поселение, муниципальный район, городской округ либо внутригородская территория города федерального значения.

С точки зрения системного подхода система управления муниципального образования является:

• вероятностной, так как ее состояние можно предсказать в каждый момент времени лишь с определенной долей вероятности;

• динамической, так как она изменяется во времени;

• большой, так как она содержит разнородные элементы и подсистемы;

• открытой, так как реализуется возможность взаимодействия подсистем друг с другом и внешней средой.

Если рассматривать систему управления МО в виде некоторого «черного ящика», то входом будут являться коллективные интересы жителей МО, выраженные на референдуме, выборах или через представительные органы, а выходами – правовые акты и результаты деятельности муниципальных служб.

К элементам системы управления МО относятся:

• население;

• территория;

• органы местного самоуправления;

• органы территориального общественного самоуправления;

• муниципальное имущество;

• муниципальный бюджет;

• инженерная и социальная инфраструктура.

Субъектами управления системы МО являются органы местного самоуправления.

Элементы системы муниципального образования взаимодействуют между собой и с макросредой посредством информационных, материальных и финансовых потоков.

Информационные потоки, необходимые для реализации функций управления, связывают местную администрацию, отделения федерального казначейства, производственные, жилищно-коммунальные предприятия и другие организации МО.

С точки зрения информационного подхода, местное самоуправление необходимо для повышения качества управленческих решений на региональном и государственном уровнях за счет предоставления более достоверной, адекватной, оперативной и полной информации об экономическом, политическом состоянии и динамике развития муниципальных образований, решениях, принимаемых местными органами власти.

Информационной основой для реализации системы управления МО является муниципальная информационная система (МИС), обеспечивающая полной, достоверной, актуальной и адекватной информацией все уровни муниципального управления.

С точки зрения системного подхода можно выделить несколько уровней информационных систем, содержащих в соответствии с уровнями управления информацию в разной степени обобщенную:

• отраслевые информационные системы – муниципального предприятия, организации, структурного подразделения администрации (наименьшая степень обобщения);

• интегрированные системы, содержащие проблемно ориентиро-ванную информацию из отраслевых подсистем (например, карта городской территории, БД по населению МО и др.);

• экспертные системы поддержки принятия решений — уровень главы администрации и его заместителей (наивысшая степень агрегации информации).

Муниципальная информационная система представляет собой целостную технологическую, программную и информационную среду создания, хранения, анализа и распространения информации в интересах муниципальных органов власти, предприятий и граждан. МИС является средством информационной поддержки муниципального управления, и ее необходимо рассматривать как объединение всех принятых в организации технологий обработки информации.

Выделяют следующие направления использования современных информационных технологий в деятельности органов муниципального управления:

1. Обеспечение безбумажной технологии обработки и хранения информации. Работа муниципальных органов власти должна обеспечиваться своевременной информационной поддержкой. В связи с этим возрастает роль систем, ориентированных на безбумажную технологию обработ-ки информации. В состав этих систем входят программы электронного документооборота, а также базы данных, формируемые в органах управления, юридически отвечающих за достоверность и полноту соответствующей информации.

2. Информационное взаимодействие субъектов муниципального управления 3. Информационно-аналитическая поддержка управленческих решений. Целью информатизации является создание условий для принятия эффективных решений по управлению городом как целостной социально-экономической системой. В соответствии с этим определяются следующие частные цели и основные задачи внедрения МИС:

• Сбор данных по различным категориям населения города для эффективного управления социальной инфраструктурой и упорядочения расходования бюджетных средств, направляемых на реализацию социальных программ;

• Ведение единого городского кадастра для оптимизации градостроительных решений;

• Ведение единого инженерного кадастра для координации деятельности инженерных служб и оперативного управления жизнеобеспечением города;

• Ведение единого имущественного кадастра для эффективного управления муниципальным имуществом;

• Мониторинг бюджета для поддержки оперативных решений по управлению расходами, обеспечение единой системы закупок и контрактов;

• Нормативно-правовое и документальное обеспечение органов управления для повышения обоснованности и оперативности принимаемых решений;

• Оперативное информирование населения о деятельности муниципалитета для удовлетворения его информационных потребностей, обеспечения конструктивного взаимодействия населения с органами управления.

Обобщенная структура муниципальной информационной системы состоит из следующих компонентов:

• ИСЦАА — информационная система центрального аппарата администрации;

• ИСГД — информационная система городской Думы;

• ИСТОМУ — информационная подсистема территориальных органов муниципального управления;

• ИСООМУ — информационная подсистема отраслевых органов муниципального управления;

• ИСФОМУ — информационная подсистема функциональных органов муниципального управления;

• МИП — муниципальный интернет-портал;

• ЦБД — центральная база данных;

• ЕИП — единое информационное пространство города.

Если учитывать частные и основные задачи МИС, то структуру системы, можно дополнить следующими функционально обособленными комплексами и подсистемами:

• подсистема бюджетного процесса;

• подсистема нормативно-правового обеспечения органов местно-го самоуправления;

• локальная вычислительная сеть мэрии;

• подсистема документооборота и делопроизводства;

• комплекс учета муниципальной собственности;

• информационная подсистема «Население»;

• мониторинговая подсистема социально-экономического разви-тия города;

• информационно-аналитическая система;

• геоинформационная система города;

• государственная автоматизированная система «Выборы»;

• комплекс взаимодействия с глобальной сетью Интернет;

• подсистема регистрации юридических лиц и предпринимателей;

• автоматизированная информационная система городского хо-зяйства;

• муниципальная телекоммуникационная сеть.

Информационная система муниципального образования должна строиться, исходя из принципов:

• масштабируемости (сохранение работоспособности системы при увеличении числа пользователей и объемов обрабатываемой информации, возможности последующей адаптации к растущим нагрузкам и дополнительным функциям: расширяемость для обеспечения возможности подключения к вновь появляющимся внешним системам);

• открытости (возможность расширения функционального наполнения системы за счет открытого прикладного программного интерфейса);

• модульности (деление системы на независимые модули с возможностью простого сопряжения).

В настоящее время перечень информационных систем, входящих в МИС г.о.

Тольятти включает около 100 позиций и представлен в Интернет по адресу http://portal.tgl.ru/inform/resurs_inf/sity.htm.

3.2. Информационные технологии управления жилищно-коммунальным комплексом Задачи, на решение которых направлено использование информационных систем в сфере ЖКХ, приведены на Рисунок 29.

ИС ЖКХ обеспечивают повышение оперативности поступления на диспетчерский пункт текущей информации о состоянии объектов с целью быстрого реагирования на проблемные ситуации.

Обработка информации о техническом состоянии жилого фонда территории — это учет потребления энергоносителей и воды, контроль технических параметров отопления, горячего и холодного водоснабжения, электроснабжения, вентиляции, работы лифтового оборудования, контроль технологической дисциплины, передача информации и разрезе домов, микрорайонов, кварталов — с целью расчета тарифов, принятия решений по капитальному ремонту и др.

Дистанционное управление объектами ЖКХ предполагает управление давлением и напряжением в сетях, включение-выключение освещения в подъездах и внутридворовых территориях, контроль доступа в технические помещения. Последствия изменения тарифов, ставок на услуги ЖКХ можно прогнозировать посредством моделирования ситуаций.

Бухгалтерский учет и расчет оплаты за коммунальные услуги включает:

• ведение учета зданий, квартир;

• управление лицевыми счетами;

• ведение поквартального учета коммунальных услуг и нормативов потребления;

• начисление субсидий и учет льгот (в совокупности и по каждому жильцу, вписанному в лицевой счет) с возможностью изменения их перечня пользователем;

• группировка зданий с целью изменения нормативов и других параметров для большого числа квартир, оперативное выполнение расчетов в процессе таких изменений;

• ведение учета доходов каждой семьи и начисление субсидий в соответствии с этими данными;

• расчет суммы льгот (с возможностью ее перерасчета в случае изменения законодательства) для каждого жильца;

• ведение истории начислений (перерасчет по предыдущим периодам в соответствии с существовавшими тогда нормативами).

Повышение качества работы с населением достигается сокращением очередей при получении справок, выписок, автоматизацией формирования и печати отчетов.

Экономия бюджетных средств достигается за счет сокращения трудозатрат на выполнение операций и численности персонала.

Повышение оперативности диспетчеризации Обработка информации о техническом состоянии жилого фонда территории Дистанционное управление объектами ЖКХ Моделирование ситуаций ИС Бухгалтерский учет и расчет оплаты за ЖКХ коммунальные услуги Повышение качества работы с населением Информационное обслуживание органов муниципального управления Обмен информацией между органами муниципального управления Экономия бюджетных средств Рисунок 29. Задачи информационных систем ЖКХ В настоящее время автоматизация ЖКХ движется в направлении организации единых расчетно-кассовых центров (ЕРКЦ). Основное назначение ЕРКЦ — расчет стоимости коммунальных услуг, автоматизация оплаты коммунальных услуг населением в условиях действия договорных отношений между производителями услуг ЖКХ.

Основными целями создания ЕРКЦ являются:

• формирование бездотационной системы ЖКХ на базе финансового анализа, контроля и учета имеющихся ресурсов;

• учет потоков платежей за коммунальные услуги и управление документооборотом;

• контроль собираемости платежей;

• создание базы данных городского хозяйства, включающей всю информацию о состоянии жилищного фонда, о населении, льготах, субсидиях, оказанных услугах.

Важнейшими направлениями деятельности ЕРКЦ являются:

• оперативное централизованное обслуживание жителей МО по оплате жилищно коммунальных услуг;

• подготовка и доставка населению платежных документов;

• предоставление льгот и субсидий;

• внесение корректировок в расчеты при изменении тарифов, льгот и субсидий;

• учет граждан, имеющих задолженность по оплате жилья и коммунальных услуг;

• централизованная информационно-аналитическая поддержка административных округов.

Примерная схема взаимодействия предприятий в единой системе расчетно кассового обслуживания населения приведена на рис. 2.8.

Администрация города Информационные потоки Администрация Информация о районов Движение денежных средств взаимозачетах предприятия Оказание услуг населению МУ Департамент соц. защиты МУ технической МУ спец. коммун.

Отделы ЗАГСов населения инвентаризации услуг Информация об Информация о Информация об изменении льготниках изменении жилищных состава семьи условий ЕРКЦ Департамент ЖКХ и энергетики Сводный Сводный Данные Сводные отчет по отчет по по данные по платежам квартплате субсидиям запросу Оплата за жилищно-коммунальные услуги ИВЦ ЖКХ Группа - Расщепление платежей на составляющие;

анализа и - Начисление квартплаты и коммун. услуг;

БАНКИ контроля - Печать счета-квитанции Бухгалтер Заявление граждан о недоставки услуг по БД по водоснаб- БД по электро- Отдел по По квартплате и жению снабжению доставке др. коммунальным квитанций услугам Инспектор по БД по тепло БД по газо- БД по субсидиям снабженнию снабжению Инф. о соотв. субсидиях Водоканал Горгаз Теплоснабжающие ГУП РГЭС предприятия Свод по МУФЗ районов недопо водоснабжению ставкам Услуги по Услуги по электроснабжению паспортисты услуг Услуги по квитанций Доставка Вызов ТБО, обслуживание лифтов, тех. обслуживание жилья, тех. обслуживание антенн и т.д.

НАСЕЛЕНИЕ Рисунок 30. Схема взаимодействия предприятий в единой системе расчетно-кассового обслуживания населения 3.3. Геоинформационные системы в муниципальном управлении. Информационные технологии в управлении муниципальной недвижимостью Работы по созданию географической информационной системы Тольятти (ГИС Тольятти) ведутся с 1998 года. Изначально функции по разработке и сопровождению ГИС выполняло муниципальное учреждение «Городской центр геоинформационных систем»



Pages:     | 1 |   ...   | 2 | 3 || 5 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.