Автоматизированная обработка списочных данных кратко

Обновлено: 27.06.2024

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка" включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.




Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка" включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

Аннотация: Цель лекции: познакомиться с автоматизированными и неавтоматизированными системами персональных данных. Рассмотреть основные принципы построения системы защиты персональных данных.

3.1. Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл " – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка " включает следующие операции , осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных , осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

3.2.Особенности обеспечения безопасности персональных данных в автоматизированных системах

Автоматизированные системы обработки информации ( АС ) в общем случае классифицируются по следующим признакам:

  1. наличие в АС информации различного уровня конфиденциальности;
  2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  3. режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс характеризуется установленным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС .

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС .

Третья группа включает АС , в которых работает один пользователь , допущенный ко всей информации АС , размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС , в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС , обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС , в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС . Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. [4]

Деление АС на классы производится в целях выбора оптимальных и достаточных мер защиты для достижения требуемого уровня защищенности.

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

В зависимости от структуры АС и способа обработки информации руководящими документами предусмотрены требования и рекомендации к нижеследующим случаям обработки информации:

обеспечение безопасности в автоматизированных рабочих местах (АРМ) на базе автономных ПЭВМ при использовании съемных накопителей большой емкости. Такие рабочие места обладают всеми признаками автоматизированной системы, соответственно, должны удовлетворять определенным требованиям по защите информации. Основной особенностью является исключение хранения на ПЭВМ информации, подлежащей защите.

Обмен информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей. На рабочих местах исполнителей не должно быть неучтенных носителей информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть "закрыты на запись ".

При использовании в данном случае Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности, как перед началом работ , с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB.

Должна быть согласована и утверждена технология обработки защищаемой информации, предусматривающая такие вопросы, как защита информации , учет носителей, размещения, эксплуатации АРМ и т.п.

обеспечение безопасности в локальных вычислительных сетях. Основными особенностями ЛВС являются распределенное хранение информации, удаленная обработка данных, а также сложность контроля за работой пользователей и общей защищенностью сети. В данном случае средства защиты информации должны использоваться во всех узлах сети, независимо от того, обрабатывают они конфиденциальную информацию или нет.

Персональные данные могут обрабатываться только в изолированных ЛВС , расположенных в пределах контролируемой зоны, или с использованием межсетевого экрана соответствующего уровня.

Для управления ЛВС и распределения системных ресурсов могут быть назначены администраторы безопасности , имеющие соответствующие права и квалификацию.

Состав пользователей ЛВС должен утверждаться по письменному разрешению руководства, а все изменения регистрироваться. Каждый пользователь и администратор должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации - ключи шифрования для криптографических средств.

обеспечение безопасности при межсетевом взаимодействии. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны. Рекомендуется учитывать разделение трафика по производственной основе и видам деятельности предприятия при построении сети и конфигурировании коммуникационного оборудования.

Подключение ЛВС к другой автоматизированной системе иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать:

  • в АС класса 1Г - МЭ не ниже класса 4;
  • в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше [5].

Если каналы связи выходят за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, защищенные волоконно-оптические линии связи либо сертифицированные криптографические средства защиты.

3.3 Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Статья 19 Федерального Закона "О персональных данных" гласит, что оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Обеспечение безопасности в соответствии ФЗ-№152 не требуется лишь для обезличенных и общедоступных персональных данных.

Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД.

Персональные данные могут быть общедоступными только с письменного согласия субъекта ПД. Они могут включать фамилию, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом ПД.

Автоматизированная обработка ПД осуществляется в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 г. "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.

Во второй лекции мы уже рассматривали определение информационной системы персональных данных.

Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Безопасность ПД при их обработке в ИСПД обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных – уполномоченное лицо. При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПД при их обработке в ИСПД.

Обеспечение безопасности ПД при их обработке в ИСПД достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПД при их обработке в ИСПД полностью возлагается на оператора персональных данных.

В связи с этим оператор обязан:

  • проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПД и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • своевременно обнаруживать факты НСД к персональным данным;
  • не допускать воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
  • незамедлительно восстанавливать ПД, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
  • осуществлять постоянный контроль за обеспечением уровня защищенности ПД.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных [14].

Информационные системы персональных данных представляют собой совокупность информационных и программно- аппаратных элементов, основными из которых являются:

  • ПД, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
  • информационные технологии, применяемые при обработке ПД;
  • технические средства, осуществляющие обработку ПД;
  • программные средства, применяемые при обработке.
  • средства защиты информации.

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПД

Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

  1. определить угрозы безопасности персональных данных при их обработке и построить модель угроз;
  2. разработать на основе модели угроз системы защиты персональных данных , обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных , предусмотренных для соответствующего класса информационных систем;
  3. проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
  4. установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;
  5. обучить персонал работе со средствами защиты информации;
  6. вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
  7. вести учет лиц, допущенных к работе с персональными данными в информационной системе;
  8. контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  9. разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
  10. составить описание системы защиты персональных данных .

3.5. Основные принципы обеспечения безопасности персональных данных

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

Финансовый успех предприятия зависит от оперативности принятия производственных решений и способности перестраивать бизнес-процессы в максимально сжатые сроки, если этого требует ситуация на рынке. Автоматизированная обработка информации обеспечит продуктивную деятельность компании по всем выбранным направлениям.

Автоматизированные системы обработка информации и управления

Преимущества использования компьютерных систем для анализа данных

Стратегия развития фирмы напрямую связана со сбором и анализом данных, поступающих от внешних и внутренних источников. Внедрение автоматизированных систем управления (кратко АСУ ) в производство для интеграции необходимой информации имеет ряд преимуществ:

  • уменьшается количество работников, что приводит к снижению издержек на заработную плату (ключевой признак);
  • при изменении каких-либо отдельных параметров в уже готовой отчетности новые значения пересчитываются в кратчайшие сроки;
  • при исследовании конкурентов, срезов рынка и внутренних бизнес-процессов компьютеризованные системы формируют единую базу данных с возможностью сортировать информацию по-разному для последующего сравнительного анализа по выбранным параметрам;
  • максимальная оперативность анализа.

Формализованные базы данных, образующиеся в результате автоматического сбора информации, включают в себя:

  • классификацию содержащихся объектов в соответствии с официально утвержденными классификаторами;
  • шаблонное описание параметров;
  • идентификацию каждого объекта на основании его уникальных характеристик;
  • кодирование и прочие средства безопасности для защиты информации.

Защита информационных баз данных

Защищенность от несанкционированного доступа в автоматизированную систему определяется следующей нормативной документацией:

Безопасность любой базы данных основывается на трех параметрах:

  1. конфиденциальность;
  2. доступность;
  3. целостность.

Важно! Большинству систем автоматизированной информационной обработки подходит модель, при которой происходит постоянная гонка средств защиты баз и новых угроз.

Иными словами, новая мера безопасности устанавливается после взлома предыдущей защитной системы. Но подобная схема неприемлема для структур критического применения:

  • военная отрасль;
  • экологически опасные производства;
  • транспортные объекты;
  • финансово-кредитные системы и т. д.

Ведь нарушение их работоспособности из-за несанкционированного взлома нанесет ощутимый урон не только представителям отдельных специальностей, но и обществу в целом, поэтому используемые для этих отраслей автоматизированные системы обработки данных (АСОД) отличаются приоритетом безопасности над функциональностью. Поэтому для них характерно применение проверенных технологий, уже опробованных в иных отраслях бизнеса и производства.

Принципы и понятия АСОД

Автоматизированные системы сбора и обработки информации (АСОИ ), как правило, базируются на следующих принципах:

  • интеграция информации в режиме реального времени с условием совместной работы всех возможных пользователей;
  • распределение данных по современным каналам передачи с использованием современных коммуникационных методов;
  • применение различных управленческих техник;
  • моделирование рабочей ситуации в режиме изменяемых сведений (функция позволяет автоматизировать процессы онлайн);
  • учет особенностей анализируемой информации.

Также они включают в себя автоматизированные системы в делопроизводстве, о чем говорилось в предыдущей статье.

Интеграция информации

Использование средств комплексной автоматизации позволяет усовершенствовать интеграцию данных, расположенных в различных источниках, в единые базы для обработки. Особенно этот процесс актуален в тех случаях, когда необходимо на какой-то период синхронизировать работу двух производств или целых предприятий.

Задачи интеграции

К задачам создаваемого интеграционного комплекса традиционно относятся:

  • разработка системной архитектуры;
  • создание пользовательского интерфейса;
  • конструирование отображения информации в зависимости от используемых источников данных;
  • корректировка неоднородности поступающих сведений.

Классификация систем интеграции

В зависимости от особенностей обрабатываемой информации могут применяться различные интеграционные методы:

  • консолидация, при которой сведения из различных источников размещаются в единую базу данных, но из нее никуда больше не распространяются;
  • федерализация, при которой не происходит физического перемещения информации, а каждый пользователь системы может получить к ним доступ при формировании запроса (к примеру, интеграция корпоративной информации);
  • распространение данных в реальном времени, в рамках которого осуществляется двухсторонняя передача информации;
  • архитектура SOA (сервисно-ориентированная), благодаря которой данные остаются в источнике, их положение остается зашифрованным, а запрашивающему информацию пользователю они выдаются в виде специальной сервисной выборки;
  • гибридная или облачная интеграция, позволяющая легко коммутировать приложения, данные и процессы на предприятии с помощью поддержки API.

Современные методы передачи данных для обработки

Одними из ключевых характеристик каналов связи являются:

  • пропускная способность;
  • защищенность от помех.

Помехи связи в системе могут возникать из-за:

  • целенаправленных атак конкурентов;
  • атмосферных причин;
  • возникновения сбоя в работе сети и т. д.

Способы защиты передаваемых данных

Сжатие информации

В результате повсеместной автоматизации и развития промышленных информационных систем появляется необходимость собирать и обрабатывать большие объемы данных в реальном времени. Одним из ключевых способов повышения эффективности от использования коммуникационных ресурсов предприятия является метод уменьшения избыточности. Благодаря ему большие информационные объемы могут сжиматься и свободно передаваться по существующим системам связи.

Преимущества

К плюсам использования методов повышенной защиты (помимо экономической выгоды) относятся:

Управление информацией

Автоматизированные системы обработки и управления (АСОИУ, АСОИИУ или АСУП) информацией позволяют вести учет основных факторов производства (труд, ресурсы, капитал) и получать максимальную финансовую выгоду от их эксплуатации.

Управление внутренними бизнес-процессами

В рамках этой системы все бизнес-процессы организации рассматриваются в виде определенных ресурсных составляющих. Для эффективной работы используются следующие действия:

  • камеральное моделирование;
  • использование специального программного обеспечения, позволяющая механизировать все подразделения;
  • перестройка бизнес-процессов в режиме реального времени силами обычных участников системы.

Управление информационными ресурсами

Важно! Методы информационного управления используются для сбора, накопления, сортировки, хранения, управления и доставки сведений внутри одного предприятия.

Они идеально подходят для структурирования разрозненной технической и прочей информации:

  • рисунков;
  • графиков;
  • документов Word и Excel;
  • файлов PDF;
  • сканов;
  • видео и т. д.

Благодаря современным программам автоматики и модулям управления происходит автоматизированная комплексная обработка всего контента за короткий промежуток времени, что существенно повышает эффективность предприятия.

Программы для обработки информации

Существует огромное количество программ для обработки данных, используемых в деятельности предприятие. Применение того или иного функционала зависит от особенностей бизнес-процессов организации, ее размера и структуры.

Текстовые редакторы

Для сбора и обработки информации стандартно используются текстовые редакторы:

Графические редакторы

Для обработки данных в режиме офиса подходят всевозможные графические редакторы. Они классифицируются на:

  • растровые;
  • векторные;
  • гибридные.

Растровые

Эти графические редакторы предназначены для создания точечных или пиксельных изображений в форматах:

Классический пример растрового редактора – Adobe Photoshop.

Векторные

Векторные редакторы позволяют создавать рисунки из геометрических элементов (линии, треугольники, многоугольники) и сохранять в форматах:

Гибридные

В гибридных графических редакторах можно создавать разноформатные изображения. Примерами программ можно назвать RasterDesk и Autocad с универсальным рабочим функционалом для проектирования.

Системы управления базами данных (СУБД)

Благодаря СУБД возможно выполнение следующих действий:

  • автоматизированная обработка информации и ее управление;
  • контроль задания структуры и описание всех данных;
  • организация коллективного пользования всеми сведениями;
  • создание каталогов и ведение больших информационных объемов.

СУБД бывают промышленными (профессиональными) и настольными.

К настольным можно отнести Microsoft Access – это простейшая программа (еще со школьных курсов информатики и техники) для определения, обработки и управления данными.

Профессиональными СУБД, например, являются:

  • Oracle;
  • PostgreSQL;
  • MicrosoftSQL;
  • MySQL;
  • MongoDB;
  • Redis;
  • DB2;
  • Sybase;
  • System Progress.

Они стандартно обеспечивают выполнение следующих условий:

  • возможность совместной работы сразу нескольких пользователей;
  • масштабируемость, в рамках которой система увеличивается при росте объекта;
  • переносимость на различные информационные платформы;
  • обеспечение безопасности хранимой информации.

Программы 1С

Весь спектр программ 1С позволяет наладить обработку данных (особенно связанных с бухгалтерской деятельностью). В них автоматизированная и структурированная информация попадает в систему и в зависимости от выбранных пакетов и модулей обрабатывается в комплексе с остальными сведениями. Подробнее ознакомиться с 1С вы можете в нашем специальном разделе.

Эта утилита может быть поставлена на персональном компьютере в условиях крупного офиса или частного дома. Стандартный продукт 1С состоит из платформы и прикладного решения. Благодаря сегментации каждый модуль программы может быть заменен без потери данных на другом. Из-за развернутых инструкций работать с программой может даже неподготовленный пользователь.

Компьютеризация офиса и производства помогает увеличить эффективность деятельности любого предприятия. Если организация работает без использования средств комплексной автоматизации, она становится неконкурентоспособной на современной рынке практически в каждой отрасли.

Обработка персональных данных с использованием средств автоматизации

Повсеместное использование средств автоматизации для операций с ПДн, с одной стороны, позволяет значительно ускорить их фиксацию, копирование, изменение, блокирование и распространение, но при этом создает дополнительные трудности из-за необходимости обеспечения информационной безопасности. При отсутствии тщательно продуманной защиты есть опасность утечки или несанкционированного использования сведений, и как результат — судебных исков от субъектов и штрафных санкций со стороны государственных служб.

Наиболее удобным способом решения проблемы является обращение к специалистам, которые возьмут на себя оценку рисков, проработку документальной базы, подбор техники и обучение персонала. Но даже в случае делегирования полномочий по организации системы и построению СЗПДн руководителю необходимо иметь представление о том, какие существуют принципы обработки ПДн и что требует законодательство от операторов. Немногие знают, что принимать меры защиты следует в отношении любой информации о гражданах, за исключением той, которая является общедоступной и не привязанной к конкретному субъекту. Даже если вы просто просите у посетителя сайта заполнить форму для обратной связи, нужно предупредить незаконное применение/изменение/распространение Ф.И.О., телефонного номера, электронной почты и т.д. Больше того, для легального сбора и оперирования данными нужно согласие их владельца в письменном или электронном виде.

В Федеральном Законе № 152-ФЗ указано, что автоматизированная обработка информации — это действия с ПДн, в которых используется вычислительное оборудование: компьютеры, ноутбуки, планшеты, мобильные и т.д. Для АС, как и для неавтоматизированных операций, предусмотрен ряд требований:

Использование средств автоматизации при обработке персональных данных в ИСПДн

Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы. В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование. ИП или юридическое лицо может позаботиться об информационной защите самостоятельно либо заключить договор на делегирование полномочий. Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого. Аутсорсинговое обслуживание обходится дешевле и позволяет оперативно решать текущие вопросы.

В список главных обязанностей, которые ложатся на оператора, входят:

  • профилактика несанкционированного доступа (НСД);
  • мониторинг на предмет утечек или незаконного проведения операций;
  • поддержание необходимого уровня защищенности системы автоматической обработки данных;
  • предупреждение воздействия на вычислительную технику со стороны персонала и сторонних лиц;
  • восстановление утерянных сведений в кратчайшие сроки;
  • определение ответственного лица (или нескольких сотрудников), который будет отслеживать положение дел, уведомлять о проблемах и заниматься их урегулированием.

Дополнительно приходится тратить усилия, время и денежные ресурсы на подбор, установку, настройку и техническое обслуживание оборудования и программного обеспечения, а также отслеживать изменения в законодательной базе, чтобы своевременно вносить коррективы и осуществлять модернизацию.

Основные меры защиты

Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:

  • установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
  • формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
  • составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
  • подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
  • ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
  • разработка детального описания системы.

Специфика организации СЗПДн

Разбираясь в том, что такое автоматизированная обработка информации, особое внимание нужно уделить именно защите. Во-первых, этого требует действующее российское законодательство, во-вторых, только так можно завоевать положительные отзывы от партнеров и клиентов, и, наконец, бесперебойно работающая СЗПДн — гарантия отсутствия претензий от Роскомнадзора, ФСТЭК и других проверяющих органов.

Читайте также: