Автор: Переладов Денис Александрович

Рубрика: Информатика

Опубликовано в Молодой учёный №13 (117) июль-1 2016 г.

Дата публикации: 28.06.2016

Статья просмотрена: 131 раз

Библиографическое описание:

Переладов Д. А. Типизация ИСПДн государственных учреждений // Молодой ученый. — 2016. — №13. — С. 342-344.



В настоящее время особо остро стоит вопрос о защите персональных данных в государственных учреждениях. Одним из первых этапов разработки системы защиты персональных данных требует правильного определения типа учреждения, который зависит от типа и категории используемой информационной системы персональных данных (далее — ИСПДн).

В данной статье рассматриваются существующие типы ИСПДн, характерные для них черты, а также приведены примеры каждого типа в зависимости от его назначения (на примере образовательных учреждений).

Учреждения разделяют на три типа в зависимости от типа используемой в учреждении ИСПДн. В свою очередь, ИСПДн разделяют на три категории в зависимости от целей и способов обработки ПДн. К каждому типу предъявляются различные требования к безопасности, в соответствии с ФЗ-152 «О защите персональных данных». Более высокий тип учреждения включает в себя требования более низких типов.

Рис. 1.

Рис. 2.

Примечания:

− Правила работы и функционал программ ИСПДн от вышестоящих организаций устанавливаются вышестоящими организациями;

− В ИСПДн бухгалтерского и кадрового учета, а также ИСПДн от вышестоящих организация данные поступают из личных дел, школьных списков и передаются через интернет, внешние накопители информации или в бумажном виде;

− Электронные дневники и журналы успеваемости учащихся на сайте учреждения, к которым учащиеся или их родители могут получить доступ по собственному паролю на сайте школы, не являются ИСПДн в случае, если пользователю предоставляются данные, относящиеся только к нему, а ПДн содержат только фамилию и имя;

− Размещение на сайте фотографии субъекта ПДн не требует согласия субъекта ПДн в случае, если помимо фотографии не указана дополнительная информация, позволяющая идентифицировать субъекта. Так же не требует согласия размещение общих фотографий с недостаточным для идентификации набором ПДн (например, только имя или класс учащегося).

Каждая из трех категорий ИСПДн (бухгалтерского и кадрового учета, обязательные от вышестоящих организаций, собственные учреждения) по своей структуре может быть представлена как АРМ, ЛИС или РИС. Исходя из этого можно выделить 9 типов ИСПДн учреждения.

Автоматизированное рабочее место.

Общие черты АРМ бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на одном компьютере;

− Отсутствует подключение к ЛВС;

− Обработка данных обычно производится в однопользовательском режиме;

− Категория обрабатываемых данных в общем случае — 3;

− Класс ИСПДн в общем случае — К3.

В случае, когда на одном рабочем месте установлено несколько систем, для работы с различными базами данных, каждая из них считается отдельной ИСПДн с отдельной классификацией.

Пример АРМ бухгалтерского и кадрового учета: компьютер главного бухгалтера, обработку ПДн сотрудников школы производит главный бухгалтер с помощью специального ПО — «1С: Бухгалтерия».

Пример АРМ обязательной ИСПДн от вышестоящих организаций: компьютер завуча, обработку ПДн учащихся производит завуч или секретарь с помощью специального ПО — «База данных ЕГЭ».

Пример АРМ собственной ИСПДн учреждения: компьютер в учительской, обработку ПДн учеников производят преподаватели или ответственное лицо для учета и ведения статистики успеваемости, на основе которой выставляются итоговые оценки за четверть, производится в программе собственной разработки.

Локальная информационная система.

Общие черты ЛИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на разных компьютерах внутри одного здания учреждения;

− Компьютеры объединены в ЛВС;

− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;

− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);

− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).

Пример ЛИС бухгалтерского и кадрового учета: два компьютера в бухгалтерии, объединенные в ЛВС; обработку ПДн сотрудников школы производят со своих компьютеров главный бухгалтер и помощник главного бухгалтера с помощью специального ПО — «1С: Бухгалтерия».

Пример ЛИС обязательной ИСПДн от вышестоящих организаций: база данных расположена на сервере школы, обработку ПДн производят со своих компьютеров администратор и директор школы с помощью клиентской части специального ПО – «Школьный офис».

Пример ЛИС собственной ИСПДн учреждения: база данных расположена на сервере школы, а разграниченный доступ к ней для всех пользователей осуществляется с помощью любого компьютера внутренней ЛВС с помощью клиентской части ПО собственной разработки — «База данных «Школьная».

Распределенная информационная система.

Общие черты РИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:

− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;

− База данных и ПО расположены на разных компьютерах в различных зданиях;

− Компьютеры объединены в ЛВС и подключены к сети общего пользования (Интернет);

− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;

− Наличие возможности удаленного доступа к базе данных;

− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);

− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).

Пример ЛИС бухгалтерского и кадрового учета: аналогичен РИС бухгалтерского и кадрового учета, но компьютеры различных отделов бухгалтерии расположены в двух зданиях.

Пример ЛИС обязательной ИСПДн от вышестоящих организаций: аналогичен РИС обязательной ИСПДн от вышестоящих организаций, но администратор имеет удаленный доступ к базе данных с помощью клиентской части специального ПО — «Карта учащегося».

Пример ЛИС собственной ИСПДн учреждения: аналогичен РИС собственной ИСПДн учреждения, но ученики, преподаватели и администраторы сети имеют удаленный доступ к базе данных ПО собственной разработки «Многомодульная информационная система управления школы» с помощью веб-интерфейса через сайт школы.

Заключение.

Важно понимать, что определенные типы ИСПДн больше подходят для одних задач и совершенно неуместны для других. Так, например, АРМ бухгалтерского и кадрового учета является наиболее распространенным в учреждениях, а РИС бухгалтерского и кадрового учета существует только как теоретическая модель. Но в тоже время РИС собственных ИСПДн встречается гораздо чаще, чем ЛИС, а АРМ для этих целей в учреждениях не используется.

Это связано с тем, что более сложные структуры ИСПДн имеют большие требования к защите, а также подвержены большему числу угроз. Этим обоснованно использование в отделах бухгалтерии и кадров преимущественно АРМ, управляет которыми ответственное лицо. А собственные ИСПДн учреждений обычно разрабатываются для более простых задач и требуют меньшего уровня защиты, ввиду объема и категории обрабатываемых ПДн. Кроме того, к именно к ним нередко требуется возможность удаленного доступа, поэтому для целей собственных ИСПДн предпочтительнее использование РИС.

Литература:

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  3. Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
  4. Т. М. Пономарев, Д. О. Дудко, С. А. Кортиков Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы. М.: 2010. 142 с.
Основные термины (генерируются автоматически): кадрового учета, собственных ИСПДн, вышестоящих организаций, ИСПДн учреждения, собственной ИСПДн учреждения, общем случае, собственных ИСПДн учреждения, персональных данных, обработку ПДн, ЛИС бухгалтерского, обязательной ИСПДн, АРМ бухгалтерского, ЛИС собственной ИСПДн, ЛИС обязательной ИСПДн, РИС бухгалтерского, обязательных ИСПДн, Класс ИСПДн, помощью клиентской части, аналогичен РИС, Обработка данных.

Обсуждение

Социальные комментарии Cackle
Задать вопрос