Библиографическое описание:

Переладов Д. А. Типизация ИСПДн государственных учреждений // Молодой ученый. — 2016. — №13. — С. 342-344.



В настоящее время особо остро стоит вопрос о защите персональных данных в государственных учреждениях. Одним из первых этапов разработки системы защиты персональных данных требует правильного определения типа учреждения, который зависит от типа и категории используемой информационной системы персональных данных (далее — ИСПДн).

В данной статье рассматриваются существующие типы ИСПДн, характерные для них черты, а также приведены примеры каждого типа в зависимости от его назначения (на примере образовательных учреждений).

Учреждения разделяют на три типа в зависимости от типа используемой в учреждении ИСПДн. В свою очередь, ИСПДн разделяют на три категории в зависимости от целей и способов обработки ПДн. К каждому типу предъявляются различные требования к безопасности, в соответствии с ФЗ-152 «О защите персональных данных». Более высокий тип учреждения включает в себя требования более низких типов.

Рис. 1.

Рис. 2.

Примечания:

− Правила работы и функционал программ ИСПДн от вышестоящих организаций устанавливаются вышестоящими организациями;

− В ИСПДн бухгалтерского и кадрового учета, а также ИСПДн от вышестоящих организация данные поступают из личных дел, школьных списков и передаются через интернет, внешние накопители информации или в бумажном виде;

− Электронные дневники и журналы успеваемости учащихся на сайте учреждения, к которым учащиеся или их родители могут получить доступ по собственному паролю на сайте школы, не являются ИСПДн в случае, если пользователю предоставляются данные, относящиеся только к нему, а ПДн содержат только фамилию и имя;

− Размещение на сайте фотографии субъекта ПДн не требует согласия субъекта ПДн в случае, если помимо фотографии не указана дополнительная информация, позволяющая идентифицировать субъекта. Так же не требует согласия размещение общих фотографий с недостаточным для идентификации набором ПДн (например, только имя или класс учащегося).

Каждая из трех категорий ИСПДн (бухгалтерского и кадрового учета, обязательные от вышестоящих организаций, собственные учреждения) по своей структуре может быть представлена как АРМ, ЛИС или РИС. Исходя из этого можно выделить 9 типов ИСПДн учреждения.

Автоматизированное рабочее место.

Общие черты АРМ бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на одном компьютере;

− Отсутствует подключение к ЛВС;

− Обработка данных обычно производится в однопользовательском режиме;

− Категория обрабатываемых данных в общем случае — 3;

− Класс ИСПДн в общем случае — К3.

В случае, когда на одном рабочем месте установлено несколько систем, для работы с различными базами данных, каждая из них считается отдельной ИСПДн с отдельной классификацией.

Пример АРМ бухгалтерского и кадрового учета: компьютер главного бухгалтера, обработку ПДн сотрудников школы производит главный бухгалтер с помощью специального ПО — «1С: Бухгалтерия».

Пример АРМ обязательной ИСПДн от вышестоящих организаций: компьютер завуча, обработку ПДн учащихся производит завуч или секретарь с помощью специального ПО — «База данных ЕГЭ».

Пример АРМ собственной ИСПДн учреждения: компьютер в учительской, обработку ПДн учеников производят преподаватели или ответственное лицо для учета и ведения статистики успеваемости, на основе которой выставляются итоговые оценки за четверть, производится в программе собственной разработки.

Локальная информационная система.

Общие черты ЛИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на разных компьютерах внутри одного здания учреждения;

− Компьютеры объединены в ЛВС;

− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;

− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);

− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).

Пример ЛИС бухгалтерского и кадрового учета: два компьютера в бухгалтерии, объединенные в ЛВС; обработку ПДн сотрудников школы производят со своих компьютеров главный бухгалтер и помощник главного бухгалтера с помощью специального ПО — «1С: Бухгалтерия».

Пример ЛИС обязательной ИСПДн от вышестоящих организаций: база данных расположена на сервере школы, обработку ПДн производят со своих компьютеров администратор и директор школы с помощью клиентской части специального ПО – «Школьный офис».

Пример ЛИС собственной ИСПДн учреждения: база данных расположена на сервере школы, а разграниченный доступ к ней для всех пользователей осуществляется с помощью любого компьютера внутренней ЛВС с помощью клиентской части ПО собственной разработки — «База данных «Школьная».

Распределенная информационная система.

Общие черты РИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на разных компьютерах в различных зданиях;

− Компьютеры объединены в ЛВС и подключены к сети общего пользования (Интернет);

− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;

− Наличие возможности удаленного доступа к базе данных;

− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);

− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).

Пример ЛИС бухгалтерского и кадрового учета: аналогичен РИС бухгалтерского и кадрового учета, но компьютеры различных отделов бухгалтерии расположены в двух зданиях.

Пример ЛИС обязательной ИСПДн от вышестоящих организаций: аналогичен РИС обязательной ИСПДн от вышестоящих организаций, но администратор имеет удаленный доступ к базе данных с помощью клиентской части специального ПО — «Карта учащегося».

Пример ЛИС собственной ИСПДн учреждения: аналогичен РИС собственной ИСПДн учреждения, но ученики, преподаватели и администраторы сети имеют удаленный доступ к базе данных ПО собственной разработки «Многомодульная информационная система управления школы» с помощью веб-интерфейса через сайт школы.

Заключение.

Важно понимать, что определенные типы ИСПДн больше подходят для одних задач и совершенно неуместны для других. Так, например, АРМ бухгалтерского и кадрового учета является наиболее распространенным в учреждениях, а РИС бухгалтерского и кадрового учета существует только как теоретическая модель. Но в тоже время РИС собственных ИСПДн встречается гораздо чаще, чем ЛИС, а АРМ для этих целей в учреждениях не используется.

Это связано с тем, что более сложные структуры ИСПДн имеют большие требования к защите, а также подвержены большему числу угроз. Этим обоснованно использование в отделах бухгалтерии и кадров преимущественно АРМ, управляет которыми ответственное лицо. А собственные ИСПДн учреждений обычно разрабатываются для более простых задач и требуют меньшего уровня защиты, ввиду объема и категории обрабатываемых ПДн. Кроме того, к именно к ним нередко требуется возможность удаленного доступа, поэтому для целей собственных ИСПДн предпочтительнее использование РИС.

Литература:

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
  4. Т. М. Пономарев, Д. О. Дудко, С. А. Кортиков Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы. М.: 2010. 142 с.

Обсуждение

Социальные комментарии Cackle