Муниципальная информационная система персональных данных

Сегодня мы раскроем тему: "Муниципальная информационная система персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Содержание

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Студент — человек, постоянно откладывающий неизбежность. 10986 —

| 7438 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Источник: http://studopedia.ru/10_303782_statya—osobennosti-obrabotki-personalnih-dannih-v-gosudarstvennih-ili-munitsipalnih-informatsionnih-sistemah-personalnih-dannih.html

Понятие информационной системы персональных данных. Классификация информационных систем персональных данных

В соответствии с Федеральным законом «О персональных данных» под информационной системой персональных данных понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных. В настоящем документе рассматриваются только ИСПДн, в которых обработка данных осуществляется с использованием средств автоматизации.

Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн
с целью установления методов и средств защиты, необходимых для обеспечения безопасности ПДн. Состав и функциональное содержание методов и средств защиты зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн. При этом ущерб возникает за счет неправомерного или случайного уничтожения, изменения, блокирования, копирования, распространения ПДн или от иных неправомерных действий с ними. В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн. Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:

нанесения вреда здоровью субъекта ПДн;

незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;

потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;

нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.

Классификация ИСПДн проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и(или) осуществляющими обработку ПДн, а также определяющими цели и содержание обработки ПДн (операторами ИСПДн) в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

Классификация ИСПДн проводится на этапе их создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и средств защиты информации, необходимых для обеспечения безопасности персональных данных.

Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе;

присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных – ХПД;

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

Определяются следующие категории обрабатываемых в информационной системе персональных данных (ХПД):

категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 – обезличенные и (или) общедоступные персональные данные.

В зависимости от объема обрабатываемых в ИСПДн персональных данных ХНПД может принимать следующие значения:

1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

Читайте так же:  Иные участники судебного разбирательства

3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы – информационные системы,
в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения к сетям международного информационного обмена, и системы, не имеющие таких подключений.

По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

По результатам анализа исходных данных информационной системе присваивается один из следующих классов:

класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;

класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;

класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;

класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс информационной системы определяется в соответствии с таблицей.

ХНПД ХПД
категория 4 К4 К4 К4
категория 3 К3 К3 К2
категория 2 К3 К2 К1
категория 1 К1 К1 К1

Применительно к специальным информационным системам после определения класса системы оператором должна быть разработана модель угроз безопасности персональных данных с использованием методических документов, разрабатываемых в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»[1],
и проведена оценка актуальности угроз. По результатам оценки требования
по защите ИСПДн от различных угроз могут быть скорректированы
по сравнению с типовыми, приведенными в разделе 5. Решение об этом принимает оператор ИСПДн.

В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации информационных систем оформляются соответствующим актом оператора.

Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований
к обеспечению безопасности персональных данных при их обработке
в информационной системе.

В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите информации в автоматизированных системах, учитывая при этом, что ПДн, в соответствии с Федеральным законом от 27 июля 2006 г. № 152 «О персональных данных», отнесены к информации ограниченного доступа.

В связи с тем, что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным, так называемым «офисным», информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации в автоматизированных системах.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Сдача сессии и защита диплома — страшная бессонница, которая потом кажется страшным сном. 9005 —

| 7277 — или читать все.

Источник: http://studopedia.ru/17_59488_ponyatie-informatsionnoy-sistemi-personalnih-dannih-klassifikatsiya-informatsionnih-sistem-personalnih-dannih.html

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Статья 13 . Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

ГАРАНТ:

См. комментарии к статье 13 настоящего Федерального закона

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Читайте так же:  Срок исковой давности по налогам для физических

Источник: http://base.garant.ru/12148567/4d6cc5b8235f826b2c67847b967f8695/

Муниципальная информационная система персональных данных

Дата документа 06.03.2019
Метки Методика

ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ ИЛИ МУНИЦИПАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Информационная система персональных данных — это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Об особенностях обработки персональных данных в таких государственных и муниципальных системах мы поговорим в нашей статье.

Статья 1 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) определяет сферу действия данного закона.
В соответствии с ней данным специальным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (государственные органы), органами местного самоуправления, иными муниципальными органами (муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Обратите внимание. Доступ к полному содержимому данного документа ограничен.

В данном случае предоставлена только часть документа для предварительного ознакомления.
Для получения доступа к полным и бесплатным ресурсам портала Вам достаточно зарегистрироваться и войти в систему.
Удобно работать в расширенном режиме с получением доступа к платным ресурсам портала, согласно прейскуранту.

Источник: http://www.referent.ru/48/217507

Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. Права субъекта персональных данных

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Студент — человек, постоянно откладывающий неизбежность. 10986 —

| 7438 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Источник: http://studopedia.ru/16_28785_osobennosti-obrabotki-personalnih-dannih-v-gosudarstvennih-ili-munitsipalnih-informatsionnih-sistemah-personalnih-dannih.html

Муниципальная информационная система персональных данных

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Видео (кликните для воспроизведения).

Комментарий к статье 13

Любопытно, что ч. 4 комментируемой статьи объясняет целесообразность создания такого регистра обеспечением прав субъектов персональных данных. При этом замалчиваются вполне очевидные интересы государства в создании такого ресурса для целей упрощения администрирования своей деятельности, повышения эффективности контрольно-надзорной и правоприменительной деятельности, а также обеспечения дополнительных мер контроля над гражданами. Ведь создание такой системы обеспечит унификацию форм предоставления информации и стандартизацию методов ее обмена, что «снизит издержки на координацию действий участников информационного обмена данными и повысит эффективность принимаемых управленческих решений» .
———————————
Андриченко Л.В., Мещерякова М.А. Информационные регистры как эффективное средство сбора и мониторинга данных о населении // Журнал российского права. 2012. N 8.

Источник: http://kommentarii.org/2017/personal_dannie/page17.html

Кто в медицине ИСПДн в соответствие с законом приводил, тот в цирке не смеётся

Данной статьей хотелось бы как-то помочь медицинским организациям справиться с выполнением первичных мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах.

Итак, что же необходимо сделать в первую очередь. Если кратко, то привести свои системы в упорядоченный вид, то есть определиться с тем, что у нас имеется и тщательно задокументировать это.

Роскомнадзор, осуществляя проверки, в первую очередь контролирует именно исполнение положений закона с юридической точки зрения, а не техническую часть. Поэтому отсутствие хотя бы одного организационно-распорядительного документа, необходимого по закону, будет означать для них нарушение. Много ли нужно задокументировать?

1. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок выполнения организационных и технических мер по защите персональных данный и сведений обрабатываемых в информационных системах МО рекомендуется включить следующие документы:

— Приказ об организации работ по защите ПДн на предприятии (в том числе, при необходимости, об организации криптографической защиты информации).
— Приказ о назначении комиссии по определению требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.
— Акты определения требуемого уровня защищенности ПДн, обрабатываемых в информационных системах МО.-
— Приказ о создании структурного подразделения, ответственного за обеспечение безопасности ПДн.
— Приказ об утверждении перечня лиц, допущенных к обработке ПДн.
— Приказ о назначении ответственного пользователя СКЗИ.
— Приказ об утверждении перечня лиц допущенных к работе с СКЗИ.
— Приказ о назначении ответственных за выявление инцидентов и реагирования на них.
— Приказ о назначении лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных.
— Приказ о назначении комиссии по уничтожению ключевых документов.
— Модель угроз безопасности информации.
— Положение по организации и проведению работ по обеспечению безопасности информации, включающее в том числе:

2. В состав пакета организационно-распорядительных документов по защите информации, определяющих порядок учета, хранения и эксплуатации средств защиты информации (далее — СрЗИ) МО рекомендуется включить следующие документы:

Читайте так же:  Жалоба на действия учителя образец

— Порядок оформления допуска (доступа) к обработке ПДн.
— Форма согласия на обработку персональных данных.
— Форма заявки на доступ к обработке ПДн.
— Форма обязательства служащего прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
— Форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
— Форма акта об уничтожении ключевых документов.
— Перечень событий безопасности, состав и содержание информации о событиях безопасности, подлежащих регистрации и сроки их хранения.
— Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных (отдельно, либо в составе «Положение об организации режима обеспечения безопасности помещений»).
— Инструкции персоналу:

При этом стоит помнить, что согласно

Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687)

… 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), примеч. например, врачи в нашем случае, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

ТК РФ Статье 22. Основные права и обязанности работодателя

Работодатель обязан:
… знакомить работников под роспись
с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью;

В итоге такая бумажная работа, а точнее её отсутствие частично или полностью, может привести к проблемам с Роскомнадзором. Одним из самых ярких случаев является плановая выездная проверка в отношении Департамента здравоохранения Ивановской области 1 декабря 2011 года. По окончании проверки выданы 14 предписаний. О том, что отсутствовало и было нарушено подробнее по ссылке 37.rkn.gov.ru/news/news31219.htm

Что нужно сделать в медицинских организациях (далее — МО) для обеспечения безопасности наших персональных данных?

Руководителям МО приказом по МО определить (назначить) должностное лицо, ответственное за обеспечение безопасности персональных данных (ПДн), обрабатываемых в информационных системах МО.

Кто им будет? Точного ответа нет, но если в МО отсутствует служба информационной безопасности, ответственным, возможно, будет назначен системный администратор. Далее довольно сухой и сложночитаемый текст, но если назначили вас, наберитесь терпения.

Сотрудникам, ответственным за обеспечение безопасности ПДн в МО, нужно определить:

Немного технической части

На данный момент лечебно-профилактическими учреждениями (ЛПУ) используется Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ). В каждом ЛПУ своя БД, она синхронизируется с общей БД, находящейся в ЦОД (МИАЦ). Все это происходит по защищенным с помощью ПАК ViPNet каналам. ПАК ViPNet были разосланы по всей РФ для организации подключения к этой системе.

Многие подробности можно найти на сайте portal.egisz.rosminzdrav.ru/materials

Подводя итоги «базовой информатизации», бывший директор ИТ-департамента министерства Роман Ивакин отмечал, что удалось обеспечить «достаточно высокий уровень развития инфраструктуры».

«Что касается подключения ЛПУ к интернету, то, по нашим данным, эта задача выполнена на 100% на уровне юридических лиц. Частично неохваченными остались, может быть, их локальные подразделения, например ФАПы (фельдшерско-акушерские пункты). Но не надо забывать о том, что таких объектов более 40 тыс., а работы по подключению фактически начались только в июне 2012 года. Для сравнения: на подключение 52 тыс. школ к сети ушло около 1,5 лет».

Источник: http://habr.com/post/343588/

Информационные системы персональных данных в государственных и муниципальных органах

«Делопроизводство», 2007, N 2

Появление в нашей действительности информационных технологий, применение мощных компьютеров для получения информации привело к необходимости принятия законодательных актов, регулирующих сбор, обработку и защиту персональных данных.

В 1981 г. была принята Конвенция Совета Европы «О защите прав личности в связи с автоматической обработкой персональных данных». Затем защита персональных данных декларировалась в Директиве Европейского союза и Парламента от 24 октября 1995 г. N 95/46/ЕС «О защите персональных данных» и Директиве от 15 декабря 1997 г. N 97/66/ЕС «Об обработке персональных данных и защите приватности в телекоммуникациях».

25 июля 2002 г. Европейский союз одобрил Директиву «О приватности в электронных коммуникациях», касающейся мобильной связи, текстовых сообщений SMS, обычных телефонных разговоров, электронной почты, чатов и других видов связи.

Российское законодательство, признав международные нормы в данной области, приняло Федеральные законы от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Персональные данные граждан распределены по базам данных государственных и муниципальных органов: налоговой службы, службы занятости, пенсионного фонда, фонда обязательного медицинского страхования, управления внутренних дел, регистрационных служб, статистики, избиркома, муниципалитетов и т.д.

Органы исполнительной власти на всех уровнях самостоятельно занимаются автоматизацией учета разных категорий населения и содержат автономные ведомственные базы персональных данных.

По данным Минэкономразвития России, на федеральном уровне имеются 18 баз персональных данных. Все базы структурно имеют территориально-распределительную архитектуру, созданием централизованных хранилищ информации до сих пор никто не занимался.

Ведомственные информационные системы создаются без должной координации между ними, на основе самостоятельно определяемых каждым ведомством технологий сбора, хранения и передачи персональных сведений, форматов и протоколов взаимодействия.

Отсутствуют механизмы автоматизированной актуализации и корректировки сведений, хранящихся в базах данных.

Имеет место дублирование идентификационных данных, несовместимость систем при попытках организовать информационное взаимодействие; так, в автоматизированной системе налоговой службы для описания адресного пространства используется собственный классификатор адресов России (КЛАДР), а государственная автоматизированная система «Выборы» применяет унифицированный Общероссийский классификатор объектов административно-территориального деления (ОКАТО).

Перечень информации, содержащей персональные данные и размещаемой в ведомственных системах учета населения, включает в себя и идентификационные данные, которые позволяют однозначно устанавливать их принадлежность конкретному человеку. Однако для каждой системы они имеют свой формат хранения. Их актуализация не стала регулярной процедурой, она осуществляется, когда граждане обращаются в соответствующие ведомства и организации.

Во многих системах первичным идентификационным данным присваиваются уникальные идентификаторы: номер и серия паспорта, номер свидетельства в пенсионном страховании, индивидуальный номер налогоплательщика (ИНН) и т.д., которые используются для подтверждения факта регистрации в этих информационных системах.

Ни один из применяющихся идентификаторов не обеспечивает стопроцентного охвата населения России и поэтому не может быть универсальным. Все ведомственные информационные системы разработаны и ориентированы на учет лишь определенной категории населения.

Номер свидетельства в информационных системах пенсионного страхования, охватывающих значительную часть населения, не может являться универсальным идентификатором, поскольку некоторые категории граждан его не имеют — инвалиды детства, также ИНН невозможно применять при учете граждан моложе 14 лет.

Читайте так же:  Описание морального вреда в иске

Можно констатировать, что определенные персональные данные в информационных системах имеются, но разбросаны по разным базам, не централизованы и дублируются в не согласованных друг с другом системах. В итоге снижается эффективность применения информационных систем и, как следствие, страдает система государственного управления.

Персональные данные граждан распределены в соответствии с законами РФ и подзаконными актами в различных видах тайн (на сегодня — более 40 видов), которые выступают в виде прямых ограничений при реализации информационных прав и свобод. В последнее время принят ряд законов по их упорядочению.

Наиболее, на наш взгляд, разработанными являются служебная и профессиональная тайны. Вполне очевидно, что в профессиональную тайну входят сведения о частной жизни — персональные данные.

Служебная тайна, например связанная с государственной и муниципальной службой, также затрагивает интересы граждан, доверивших свои персональные данные.

К законодательным и нормативным документам о служебной тайне относятся: Федеральный закон от 31 июля 1995 г. N 119-ФЗ «Об основах государственной службы Российской Федерации»; Федеральный закон от 17 января 1992 г. N 2202-1 (в ред. от 10 февраля 1999 г.) «О прокуратуре Российской Федерации»; Федеральный закон от 2 декабря 1990 г. N 395-1 (в ред. от 31 июля 1998 г. N 151-ФЗ) «О банках и банковской деятельности»; Закон РФ от 18 апреля 1991 г. N 1026-1 (в ред. от 15 июня 1996 г. N 73-ФЗ) «О милиции»; Федеральный закон от 12 августа 1995 г. N 144-ФЗ «Об оперативно-розыскной деятельности»; Федеральный закон от 16 февраля 1995 г. N 15-ФЗ (в ред. от 6 января 1999 г.) «О связи»; Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»; Налоговый кодекс РФ (часть 1) от 31 июля 1998 г. N 146-ФЗ; Гражданский кодекс РФ (часть 1) от 30 ноября 1994 г. N 51-ФЗ (в ред. от 12 августа 1996 г.); Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ (в ред. от 9 февраля 1999 г.); Таможенный кодекс РФ от 18 июня 1993 г. N 5221-1 (в ред. от 10 февраля 1999 г.); Указ Президента РФ от 6 марта 1997 г. N 188; Федеральный закон от 21 июля 2005 г. N 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

В рамках приведенных нормативно-правовых документов созданы или создаются информационные системы персональных данных.

Федеральным законом установлено, что информационные системы подразделяются на:

  1. Государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
  2. Муниципальные информационные системы, созданные на основании решения органа местного самоуправления.
  3. Иные информационные системы.

А в соответствии с Федеральным законом: «. государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные и муниципальные системы персональных данных».

Получается, что концепции развития информационного законодательства в сегменте создания единой информационной системы персональных данных нет.

Необходимо отметить, что попытки создать систему учета населения (естественно, в которую входили и персональные данные) предпринимались.

В 70-е годы велись работы над Государственным регистром населения (ГРН), то есть единой информационной системой с базой данных о населении сначала СССР, потом России, однако до практических результатов дело не дошло.

В настоящее время ведутся работы по созданию системы персонального учета населения (СПУН) как системы информационного взаимодействия на базе единого информационно-телекоммуникационного пространства, которая должна являться частью единого информационного пространства России, обеспечивающей информационное и техническое взаимодействие соответствующих ведомственных и территориальных систем.

Для создания и использования информационных систем персонального учета необходимо решить научно-технические вопросы взаимодействия неоднородных (ведомственных) информационных систем, разработать и принять нормативно-правовые акты по данной проблеме и — самое главное, на наш взгляд — решить задачу разработки и присвоения каждому физическому лицу России идентификатора персональных данных — универсального чипа (за рубежом проводятся эксперименты по вживлению имплантата с персональными данными в зуб или под кожу человека).

Источник: http://wiseeconomist.ru/poleznoe/37687-informacionnye-sistemy-personalnyx-dannyx-gosudarstvennyx-municipalnyx-organax

Разграничение информационных систем при защите персональных данных

Предмет данной статьи — разграничение информационных систем при защите персональных данных с помощью программы Киберсейф Межсетевой экран. В статье будет показан пример развертывания программы и разграничения доступа групп ПК в реальной компании.

Требования к защите информационных систем персональных данных

ИСПДн (Информационная система персональных данных) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г., для обеспечения 3 уровня защищенности персональных данных применяются (пункт 12б):

межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно­телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно­-телекоммуникационными сетями международного информационного обмена;

В этой статье будет рассмотрено практическое использование программы Киберсейф Межсетевой экран, которая на данный момент сертифицирована по 4-ому уровню защищенности, однако в течение месяца будет сертифицирована по 3-ему уровню (сертификат уже находится на подписи в ФСТЭК). С соответствующим сертификатом можно ознакомиться на сайте компании КиберСофт. Ссылка на государственный реестр сертифицированного ПО будет приведена в конце статьи.

Постановка задачи

Структура компании, в которой мы недавно внедряли программу Киберсейф Межсетевой экран, изображена на рис. 1.


Рис. 1. Структура компании

Создание файла трансформации


Рис. 2. Создание сценария развертывания


Рис. 3. Сохранение сценария развертывания

Подробно программа Киберсейф Удаленный сервер рассмотрена в руководстве по программе Киберсейф Межсетевой экран (http://cybersafesoft.com/rus/products/cybersafe-firewall/).
Если в вашей организации не используется Active Directory, то с помощью программы Киберсейф Удаленный сервер вы можете создать командный файл (*.bat). Для развертывания программы на всех компьютерах сети достаточно будет скопировать его на каждый компьютер вместе с инсталлятором программы (MSI-файл) и запустить его (командный файл). Если же для каждого компьютера нужны уникальные пользователи, тогда можно на каждом компьютере вручную запустить инсталлятор программы (MSI-файл), при этом вам не нужны ни файл трансформации, ни командный файл.

Развертывание Киберсейф Межсетевой экран с помощью Active Directory


Рис. 4. Редактор групповой политики

Назовите новый объект групповой политики CS_Firewall (рис. 5). В разделе Фильтры безопасности удалите группу Прошедшие проверку и добавьте компьютеры, группы и пользователей, к которым будут применены параметры данного объекта групповой политики (рис. 6). Другими словами добавьте компьютеры, на которые должна быть установлена программа.

Читайте так же:  Судебный приказ по взносам снт


Рис. 5. Создание нового объекта GPO


Рис. 6. Созданный объект GPO

Щелкните правой кнопкой мыши на только что созданном GPO (CS Firewall) и выберите команду Изменить. Перейдите в раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ (рис. 7).


Рис. 7. Раздел Конфигурация пользователя, Политики, Конфигурация программ, Установка программ

Щелкните правой кнопкой на разделе Установка программ и выберите команду Создать, Пакет. В появившемся окне нужно выбрать путь к MSI-файлу программы. Обратите внимание, что вводить нужно не локальный путь, а сетевой, поскольку пользователи будут получать доступ к пакету по сети.
Следующий шаг — выбор метода развертывания. Поскольку мы хотим предоставить файл трансформации (mst-файл, созданный программой Киберсейф Удаленный сервер), то нужно выбрать особый метод развертывания (рис. 8). Благодаря этому будет открыто окно настройки пакета развертывания (рис. 9). Затем перейдите на вкладку Модификации, нажмите кнопку Добавить и выберите файл трансформации (.mst-файл), рис. 10.


Рис. 8. Выбор метода развертывания


Рис. 9. Настройка пакета развертывания


Рис. 10. Указываем файл трансформации

Нажмите кнопку OK.

Примечание. После нажатия кнопки OK пакет и файл трансформации (файлы .msi и .mst соответственно) будут прокэшированы. Если вам понадобится изменить файл трансформации после создания пакета, то придется создавать пакет развертывания заново.

На этом работа с редактором групповой политики завершена. Закройте все окна, откройте командую строку (или хотя бы окно Выполнить, нажав комбинацию клавиш Win + R) и введите команду:

На этом все. Программа будет автоматически установлена на компьютеры после их перезагрузки и до отображения окна входа в систему. Пользователь ни на что не может повлиять и ни в чем не может ошибиться.
Иногда программа не устанавливается автоматически. Чаще всего такая проблема наблюдается на рабочих станциях под управлением Windows XP. Чтобы произвести ее установку, нужно вручную ввести на ней команду gpupdate /force.

Настройка правил брандмауэра

Используя панель администрирования Киберсейф межсетевой экран, вы можете задать глобальные и групповые правила для всех межсетевых экранов Киберсейф, установленных в вашей сети. Глобальные правила распространяются на все компьютеры, на которых установлена программа Киберсейф межсетевой экран, а групповые правила определяют поведение программы Киберсейф межсетевой экран, установленной на определенной группе компьютеров.
Прежде, чем приступить к настройке глобальных и групповых правил, нужно назначить пользователя администратором. Сделать это можно только с помощью программы Киберсейф Удаленный сервер.
Администратор может с помощью панели администрирования управлять удаленным брандмауэром. Итак, в программе Киберсейф Удаленный сервер разверните узел Пользователи и выберите пользователя, которого вы хотите сделать администратором и включите переключатель Администратор (рис. 11).


Рис. 11. Назначение пользователя администратором

Теперь приступим к решению нашей задачи. Напомню, нам нужно запретить доступ компьютерам ИСПДн «Атлант» доступ к Интернету и к другим компьютерам сети.
Войдите в программу Киберсейф Межсетевой экран и выберите команду меню Файрвол, Панель администрирования.
Создайте различные группы компьютеров, которые будут соответствовать имеющимся в сети отделам (см. рис. 1). Для создания группы щелкните правой кнопкой мыши на рабочей области и выберите команду Добавить группу. А чтобы добавить в группу компьютер просто перетащите его пиктограмму на пиктограмму группы. Конечный результат приведен на рис. 12. Обязательно нажмите кнопку Применить, чтобы программа «запомнила» созданные группы.
Нужно отметить, что при изменении IP-адресов входящих в группу компьютеров состав созданной группы не изменится. Поэтому не стоит волноваться о составе группы в случае использования в вашей организации DHCP-сервера.


Рис. 12. Созданные группы

Выделите ИСПДн «Атлант ПД» и нажмите кнопку Установить правила. Так вы сможете установить групповые правила. Для установки глобальных правил нужно выделить узел Все и нажать кнопку Установить правила.
Итак, установим правила для группы ИСПДн «Атлант ПД». В появившемся окне перейдите в раздел Правила безопасности и нажмите кнопку Добавить (рис. 13).


Рис. 13. Правила безопасности: пока не заданы

На вкладке Общие (рис. 14) задайте описание правила — «Запрет обмена данными с группой ».
Установите тип правила — Запретить пакеты, выберите направление пакетов — Для всех пакетов и протокол — Любой.


Рис. 14. Вкладка Общие

В качестве источника укажите ИСПДн «Атлант ПД», а в качестве получателя — одну из групп вашего предприятия, например, IT-отдел. Нажмите кнопку OK.
Что делает это правило? Оно запрещает компьютерам ИСПДн «Атлант ПД» передавать любые пакеты в группу IT-отдел. Даже если какой-то компьютер из группы IT-отдел попытается установить соединение с компьютером группы ИСПДн «Атлант ПД», то компьютеры группы ИСПДн «Атлант ПД» все равно не смогут ответить ему, поскольку им это запрещает правило.


Рис. 15. Вкладка Источник


Рис. 16. Вкладка Получатель

Повторите описанную процедуру для остальных групп в вашей сети. У вас должен получиться набор правил, показанный на рис. 17.


Рис. 17. Созданные правила для группы ИСПДн «Атлант ПД»

Осталось запретить доступ к Интернету. Для этого достаточно запретить любой обмен данными со шлюзом. Для этого создадим еще одно правило безопасности для ИСПДн «Атлант ПД». На вкладке Общие установите параметры так:

  1. Описание — Запрет доступа к Интернету
  2. Тип правила — Запретить пакеты
  3. Направление пакетов — Для всех пакетов
  4. Протокол — Любой

На вкладке Источник выберите в качестве источника ИСПДн «Атлант ПД» (рис. 15). На вкладке Получатель установите IP-адрес сервера (внутренний), например, 192.168.1.1 (рис. 18).


Рис. 18. Запрет доступа к Интернету

Нажмите кнопку OK. По умолчанию все правила являются выключенными. Для их включения щелкните на каждом правиле правой кнопкой мыши и выберите команду Включить. Окончательный вариант правил показан на рис. 19. Обратите внимание на статус правила — Включено.


Рис. 19. Окончательный вариант правил

Закройте окно редактирования правил безопасности, а в окне Панель администрирования нажмите кнопку Применить, а затем закройте само окно.

Вывод

Поставленная задача решена и теперь компьютеры группы ИСПДн «Атлант ПД» не могут взаимодействовать с остальными компьютерами локальной сети и у них нет доступа к Интернету. Средствами программ Киберсейф Межсетевой экран информационная система персональных данных была полностью изолирована от остальной сети.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/250127/

Муниципальная информационная система персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here