Неавтоматизированная информационная система сообщение

Обновлено: 04.07.2024

Общие принципы управления в живой природе, обществе, технике изучаются кибернетикой.

Слово "кибернетика"* возникло в Древней Греции. Впервые его произнес задолго до нашей эры философ Платон, произведя его от греческого слова "кибернус", что означало "кормчий". Вот почему древнее искусство управлять кораблем может служить первым символом кибернетики.

В середине ХХ века новый смысл в это понятие вложил математик Н. Винер. Кибернетика - наука об управлении сложными динамическими системами и процессами. Объектом изучения этой науки являются системы любой природы, способные воспринимать, хранить и перерабатывать информацию и использовать её для управления и регулирования.

Система - (с греческого, составленное из частей, соединение) является одним из основных понятий кибернетики. Система – это объективное единство закономерно связанных друг с другом предметов, явлений, сведений, а также знаний о природе, обществе и т.п.

Появление кибернетики - науки об общих закономерностях в процессах управления, осуществляемых в живых существах, машинах и их комплексах, - позволило собрать и обобщить огромное количество фактов, которые показали, что процесс управления во всех организованных системах сходен.

Различие в управлении объектами касаются критериев цели, задач и содержания управления. Однако структура и построение процессов управления в организованных системах любых рангов имеют черты глубокого сходства, общности. Это обстоятельство объясняется тем, что процесс управления всегда представляет собой информационный процесс, т.к. управление реализуется через информационные потоки прямой и обратной связи.

Менеджмент (в максимально широком смысле)— руководство социально-экономическими системами. Менеджмент- Имеет пять функций: планирование, организация, мотивация, координация и контроль. Взаимосвязь этих функций определяется тем, что нельзя управлять неорганизованной системой, то есть, чем лучше организовано предприятие, тем меньше оно нуждается в управлении. Организация (как деятельность): 1. Образование и совершенствование связей между частями целого; 2. Создание и совершенствование структуры и правил функционирования ее элементов.

Классификация ИС.

В соответствии с кибернетическим подходом система управленияпредставляет собой совокупность объекта управления, например предприятия, и субъекта управления – управленческого аппарата. Экономическая информационная система (ЭИС) связывает экономический объект и систему управления между собой и с внешней средой, используя для этого информационные потоки. ЭИС существует на любом экономическом объекте независимо от степени автоматизации управления этим объектом. На рис.4 представлены уровни управления экономическим объектом и работающие на каждом из уровней управления информационные системы (ИС).

Аннотация: Цель лекции: познакомиться с автоматизированными и неавтоматизированными системами персональных данных. Рассмотреть основные принципы построения системы защиты персональных данных.

3.1. Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл " – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка " включает следующие операции , осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных , осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

3.2.Особенности обеспечения безопасности персональных данных в автоматизированных системах

Автоматизированные системы обработки информации ( АС ) в общем случае классифицируются по следующим признакам:

1. наличие в АС информации различного уровня конфиденциальности;
2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
3. режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс характеризуется установленным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС .

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС .

Третья группа включает АС , в которых работает один пользователь , допущенный ко всей информации АС , размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС , в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС , обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС , в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС . Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. [4]

Деление АС на классы производится в целях выбора оптимальных и достаточных мер защиты для достижения требуемого уровня защищенности.

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

В зависимости от структуры АС и способа обработки информации руководящими документами предусмотрены требования и рекомендации к нижеследующим случаям обработки информации:

обеспечение безопасности в автоматизированных рабочих местах (АРМ) на базе автономных ПЭВМ при использовании съемных накопителей большой емкости. Такие рабочие места обладают всеми признаками автоматизированной системы, соответственно, должны удовлетворять определенным требованиям по защите информации. Основной особенностью является исключение хранения на ПЭВМ информации, подлежащей защите.

Обмен информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей. На рабочих местах исполнителей не должно быть неучтенных носителей информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть "закрыты на запись ".

При использовании в данном случае Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности, как перед началом работ , с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB.

Должна быть согласована и утверждена технология обработки защищаемой информации, предусматривающая такие вопросы, как защита информации , учет носителей, размещения, эксплуатации АРМ и т.п.

обеспечение безопасности в локальных вычислительных сетях. Основными особенностями ЛВС являются распределенное хранение информации, удаленная обработка данных, а также сложность контроля за работой пользователей и общей защищенностью сети. В данном случае средства защиты информации должны использоваться во всех узлах сети, независимо от того, обрабатывают они конфиденциальную информацию или нет.

Персональные данные могут обрабатываться только в изолированных ЛВС , расположенных в пределах контролируемой зоны, или с использованием межсетевого экрана соответствующего уровня.

Для управления ЛВС и распределения системных ресурсов могут быть назначены администраторы безопасности , имеющие соответствующие права и квалификацию.

Состав пользователей ЛВС должен утверждаться по письменному разрешению руководства, а все изменения регистрироваться. Каждый пользователь и администратор должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации - ключи шифрования для криптографических средств.

обеспечение безопасности при межсетевом взаимодействии. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны. Рекомендуется учитывать разделение трафика по производственной основе и видам деятельности предприятия при построении сети и конфигурировании коммуникационного оборудования.

Подключение ЛВС к другой автоматизированной системе иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать:

• в АС класса 1Г - МЭ не ниже класса 4;
• в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше [5].

Если каналы связи выходят за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, защищенные волоконно-оптические линии связи либо сертифицированные криптографические средства защиты.

3.3 Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных

Статья 19 Федерального Закона "О персональных данных" гласит, что оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Обеспечение безопасности в соответствии ФЗ-№152 не требуется лишь для обезличенных и общедоступных персональных данных.

Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД.

Персональные данные могут быть общедоступными только с письменного согласия субъекта ПД. Они могут включать фамилию, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом ПД.

Автоматизированная обработка ПД осуществляется в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 г. "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", а также конкретизируются в нормативно-методических документах ФСТЭК и ФСБ.

Во второй лекции мы уже рассматривали определение информационной системы персональных данных.

Информационная система персональных данных (ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Безопасность ПД при их обработке в ИСПД обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных – уполномоченное лицо. При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПД при их обработке в ИСПД.

Обеспечение безопасности ПД при их обработке в ИСПД достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПД при их обработке в ИСПД полностью возлагается на оператора персональных данных.

В связи с этим оператор обязан:

• проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПД и (или) передачи их лицам, не имеющим права доступа к такой информации;
• своевременно обнаруживать факты НСД к персональным данным;
• не допускать воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование;
• незамедлительно восстанавливать ПД, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
• осуществлять постоянный контроль за обеспечением уровня защищенности ПД.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных [14].

Информационные системы персональных данных представляют собой совокупность информационных и программно- аппаратных элементов, основными из которых являются:

• ПД, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
• информационные технологии, применяемые при обработке ПД;
• технические средства, осуществляющие обработку ПД;
• программные средства, применяемые при обработке.
• средства защиты информации.

3.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИСПД

Для обеспечения безопасности персональных данных оператор ПД или уполномоченное лицо обязаны провести следующие мероприятия:

1. определить угрозы безопасности персональных данных при их обработке и построить модель угроз;
2. разработать на основе модели угроз системы защиты персональных данных , обеспечивающих нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных , предусмотренных для соответствующего класса информационных систем;
3. проверить готовность средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
4. установить и ввести в эксплуатацию средства защиты информации в соответствии с эксплуатационной и технической документацией;
5. обучить персонал работе со средствами защиты информации;
6. вести учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
7. вести учет лиц, допущенных к работе с персональными данными в информационной системе;
8. контролировать соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
9. разбирать и составлять заключения по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; осуществить разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
10. составить описание системы защиты персональных данных .

3.5. Основные принципы обеспечения безопасности персональных данных

При построении системы защиты персональных данных оператор ПД должен руководствоваться следующими принципами:

Примечание. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Основные требования к мерам по обеспечению безопасности персональных данных при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (далее – Положение).

Примечание. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Согласно Положению неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка, при которой использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека. При этом обработка персональных данных не может быть признана автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Примечание. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Подавляющее большинство компаний в своей деятельности используют типовые формы документов, которые предполагают или допускают включение в них персональных данных. Положение содержит условия, которые необходимо соблюдать при использовании таких форм.

Типовые формы документов или связанные с ними документы (инструкции по заполнению, карточки, реестры, журналы) должны содержать информацию о цели обработки персональных данных, наименование и адрес компании-оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения, сроки обработки, перечень действий и общее описание используемых оператором способов их обработки.

Типовые формы также должны:

при необходимости получения письменного согласия на обработку персональных данных содержать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных;

быть составлены таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться только со своими персональными данными;

исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При неавтоматизированной обработке персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При обработке различных категорий персональных данных для каждой категории должен использоваться отдельный материальный носитель.

Уточнение персональных должно осуществляться путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Хранение материальных носителей персональных данных должно обеспечивать их сохранность и исключать несанкционированный доступ. При этом материальные носители персональных данных, обработка которых осуществляется в различных целях, должны храниться раздельно и таким образом, чтобы можно было определить места их хранения для каждой из категорий персональных данных.

При этом обязанность установления перечня мер, необходимых для обеспечения сохранности персональных данных и исключающих несанкционированный доступ к ним, порядка их принятия, а также перечня лиц, ответственных за их реализацию, возложена на оператора.

Чтобы выполнить требования Положения к неавтоматизированной обработке персональных данных и избежать привлечения к ответственности, следует принять ряд мер.

Примечание. В числе наиболее критичных последствий несоблюдения требований законодательства в области персональных данных для коммерческих структур – потеря доверия клиентов и падение конкурентоспособности.

Практика показывает, что подавляющее большинство граждан отказываются от услуг организации, не обеспечившей должный уровень защиты конфиденциальной информации. Это приводит не только к потере существующих клиентов, но и к трудностям в привлечении новых.

В первую очередь необходимо проинформировать всех сотрудников и лиц, осуществляющих обработку персональных данных по договору, о факте обработки ими персональных данных, об особенностях и правилах осуществления такой обработки, ознакомить под роспись с нормативными и локальными правовыми актами.

В связи с этим целесообразно внести изменения в трудовые и гражданско-правовые договоры, должностные инструкции в части прав, обязанностей и ответственности в области персональных данных. Нелишним будет и заключение договора (обязательства) с указанием обязанностей и ответственности за нарушения режима конфиденциальности.

Лучше установить строго определенный перечень подразделений и должностей лиц, допущенных к работе с теми или иными категориями персональных данных.

Необходимо разработать и утвердить положение о неавтоматизированной обработке персональных данных. Такой документ должен быть основан на требованиях, установленных нормативно-правовыми актами РФ, с учетом требований Положения, определять порядок реализации и перечень мер, необходимых для обеспечения безопасности персональных данных при неавтоматизированной обработке, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, в том числе при использовании типовых форм документов, хранении, уничтожении и обезличивании персональных данных, и их ответственность за нарушение норм по обработке персональных данных. Также целесообразно разработать инструкции по заполнению типовых форм документов.

В случае сбора персональных данных для осуществления пропускного режима или в иных аналогичных целях необходимо разработать локальный правовой акт, содержащий сведения о цели и сроках обработки персональных данных, составе и способах их фиксации, перечне лиц, имеющих доступ к материальным носителям и ответственных за их ведение и хранение.

Таким образом, в компаниях возникает необходимость принятия мер и разработки нового, достаточно объемного пакета документов, который должен содержать не только общие документы, связанные, например, с получением согласия субъектов на обработку их персональных данных, уведомлением уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установлением целей и способов обработки персональных данных и т.д., но и документы, регламентирующие применение организационных и технических мер в отношении каждого из способов обработки персональных данных.

Именно наличие документации в первую очередь будут проверять контролирующие органы (одно из самых распространенных замечаний Роскомнадзора по результатам проверок операторов – это несоответствие типовых форм документов законодательству).

Несмотря на информатизацию общества и автоматизацию бизнес-процессов, в большинстве компаний обработка персональных данных осуществляется в том числе и неавтоматизированно и соответственно регламентируется Положением, а значит, возникает необходимость выделения содержащих персональные данные документов и информации, их особой маркировки, ведения отдельного учета, контроля доступа к ним и т.д.

Примечание. Законодательством РФ предусмотрены следующие санкции:

меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

конфискация несертифицированных средств защиты информации, в том числе основного оборудования и программного обеспечения информационных систем, используемых средств шифрования;

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.

Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].

Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка" включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].

Читайте также:

  
• Сообщение о рыцарях круглого стола 6 класс
  
• Произошел сбой adblock нажмите на это сообщение
  
• Ограничение на размер вложенного в электронное сообщение файла устанавливается
  
• Сообщение о рыбе комета
  
• Автомобильный транспорт и экология сообщение