CC BY
39
мероприятия по обеспечению безопасности
обработки персональных данных в кадровых подразделениях овд мвд россии
© БОЙКО Алексей Петрович
заместитель начальника УВД по г. Саратову - начальник ОРЛС, соискатель кафедры информатики и применения компьютерных технологий в раскрытии преступлений Саратовского юридического института МВД России.
Ш (845-2) 747-006, Ш boyzstud@mail.ru
Обоснована необходимость разработки комплекса мер по совершенствованию нормативно-правовой базы в сфере защитыучётно-кадровой информации, действующей в системе МВД России, и организационному обеспечению защиты информации в рассматриваемой сфере. Предложено авторское видение организационной системы по обеспечению защиты информации.
Ключевые слова: информатизация кадровых подразделений, защита информации.
Развитие новых компьютерных (информационных) технологий, формирование и использование современных глобальных информационных баз значительно повысило работоспособность всех структурных подразделений Министерства внутренних дел Российской Федерации: создана специальная единая информационно-телекоммуникационная структура системы МВД России. Руководством Министерства поставлена задача, чтобы ЕИТКС ОВД МВД России работала в каждом районном управлении, практически в каждом сельском населённом пункте, если там есть отделение Министерства внутренних дел. Обозначены чёткие сроки введения в эксплуатацию этой системы.
В связи с ростом новых угроз: только за три месяца PandaLabs [2] зарегистрировала 5 млн новых экземпляров вредоносных кодов (рис. 1), а также благодаря введению в действие ЕИТКС МВД России, разрабатывается специализирован-
ное программное обеспечение, предназначенное для защиты от несанкционированного доступа к информации ограниченного пользования. В то же время организационно-правовое обеспечение противодействия механизмам несанкционированного доступа к информации, функционирующей в кадровых подразделениях ОВД МВД России, реализуется до настоящего времени лишь в ряде ведомственных инструкций.
С целью обеспечения безопасности обработки персональных данных в кадровых подразделениях ОВД МВД России необходимо разработать не только комплекс мер по совершенствованию нормативно-правовой базы в сфере защиты учётно-кадровой информации, но и систему организационного обеспечения защиты информации в рассматриваемой сфере.
Процесс формирования комплекса мероприятий по организационному обеспечению защиты информации в кадровых подразделе-
Научно-практический журнал. ISSN 1995-5731
Рис. 1. Распределение угроз от несанкционированного доступа (по данным PandaLabs, октябрь 2009 г.)
ниях ОВД МВД России должен включать в себя следующие этапы.
1. Обоснование и выбор методики создания системы защиты информации в кадровых подразделениях ОВД МВД России.
2. Обоснование и выбор средств защиты информационных ресурсов кадровых подразделений ОВД МВД России.
3. Построение модели адаптивной системы защиты информационной среды.
4. Разработка принципов расследования нарушений системы защиты информации.
5. Внедрение созданной системы защиты информации в соответствующих подразделениях ОВД МВД России.
В кадровых подразделениях органов внутренних дел МВД России введены в действие и успешно эксплуатируются следующие автоматизированные информационные системы (АИС) [1, с. 11-12 ]: «Кадры», «Алфавитная карточка», «Федеральная картотека личного состава», «Статистика-Кадры», «Удостоверение», «Профподготовка», «Боеготовность» и «Социальная защита» (рис. 2).
АИС «Кадры» предназначена для персонального и статистического учёта лиц рядового и начальствующего состава органов внутренних дел МВД России, проведения детального анализа и выявления факторов, влияющих на результативность деятельности кадровых аппаратов.
«АК» («Алфавитная карточка») используется для формирования картотеки алфавитного учёта лиц среднего, старшего и высшего начальствующего состава органов внутренних дел Российской Федерации.
«ФКЛС» («Федеральная картотека личного состава») применяется в целях централизации персонального учёта лиц рядового и
младшего начальствующего состава ОВД МВД России.
«Статистика-К» («Статистика-Кадры») выполняет функции автоматизации сбора и передачи ведомственной статистики.
«Удостоверение» - эта АИС осуществляет контроль организации изготовления, оформления, выдачи, учёта служебных удостоверений.
«Профподготовка» содержит информацию по вопросам организации профессиональной подготовки, используется для повышения эффективности контроля и управления процессами организации переподготовки и повышения квалификации сотрудников органов внутренних дел, совершенствования служебно-боевой подготовки.
«Боеготовность» - эта система предназначена для повышения эффективности контроля и управления процессами боеготовности.
«СЗ» («Социальная защита») специализируется по вопросам организации социальной защиты, сведений о членах семей сотрудников правоохранительных органов, погибших при исполнении служебных обязанностей, сотрудниках, ставших инвалидами вследствие военной травмы,
Ввод и эксплуатация указанных АИС в кадровых подразделениях ОВД МВД России позволяет в необходимой мере выполнять возложенные на эти структуры задачи, предоставляет возможность сотрудникам кадровых служб решить (упростить) решение многих вопросов, осуществить быстрый обмен необходимой информацией, применяя новые компьютерные технологии.
В то же время необходимо отметить, что результатом несанкционированного, в том числе случайного доступа к персональным данным является уничтожение, изменение,
«Кадры» ц—S
Персональный и статистический учет лиц рядового и начальствующего состава ОВД МВД России
«АК» [Л
Картотека алфавитного учета лиц среднего, старшего и высшего начальствующего состава ОВД МВД России
Централизация персонального учета лиц «ФКЛС» [Л рядового и младшего начальствующего состава
ОВД МВД России
«СЗ» [ц) Вопросы организации социальной защиты
«Статистика-К»
С)
W
Автоматизацию сбора и передачи ведомственной статистики
Контроль организации «Удостоверение» [Л изготовления, оформления, выдачи,
учета служебных удостоверений
Вопросы организации
«Профподготовка» [А профессиональной подготовки,
совершенствования служебно-боевой подготовки
«Боеготовность»
Повышение эффективности контроля и управления процессами боеготовности
Рис. 2. Автоматизированные информационные системы (АИС) МВД России
блокирование, копирование, распространение персональных данных и иные несанкционированные действия.
Поэтому при вводе, хранении, обработке персональных данных во всех АИС МВД России кадровыми подразделениями органов внутренних дел должно быть обеспечено проведение следующего комплекса мероприятий.
1. Предотвращение несанкционированного, в том числе случайного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации.
2. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
3. Недопущение какого-либо (аппаратного, программного) воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
4. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5. Постоянный контроль за обеспечением уровня защищённости персональных данных.
Деятельность по обеспечению безопасности персональных данных при их вводе, хранении, обработке в информационных системах должна осуществляться совместно сотрудниками кадровых подразделений и вычислительных центров органов внутренних дел.
Эти мероприятия должны, на наш взгляд, планироваться и выполняться в определённой последовательности начиная с выявления угроз безопасности персональных данных при их вводе, хранении, обработке и заканчивая контролем за соблюдением условий использования средств защиты информации, предусмотренных нормативной и ведомственной документацией.
В результате анализа и определения угроз безопасности персональных данных сотрудниками кадровых подразделений и информационных центров должны быть сформированы модели угроз, на основе которых разработаны системы защиты персональных данных. Причём последняя должна в полной мере обеспечивать нейтрализацию предполагаемых угроз, исполь-
Научно-практический журнал. ISSN 1995-5731
зуя методы и способы защиты персональных данных, предусмотренных для соответствующего класса информационных систем.
Разработка системы защиты персональных данных завершается проверкой готовности средств защиты информации. В составлении заключения о возможности эксплуатации средств защиты информации в обязательном порядке, на наш взгляд, должны принимать участие как технические специалисты, так и сотрудники кадровых подразделений, несущие ответственность за своё направление работы.
Установка и ввод в эксплуатацию средств защиты информации в кадровых подразделениях ОВД МВД России в соответствии с эксплуатационной и технической документацией, так же как и обучение сотрудников, использующих средства защиты информации, применяемые в АИС, правилам работы с ними, должно быть возложено, по нашему мнению, не только на сотрудников вычислительных и информационных центров ОВД МВД России. Здесь большую помощь в организации и проведении соответствующих занятий могут оказать образовательные учреждения системы МВД России [1, с. 11-14].
Перед началом и в процессе эксплуатации всех АИС необходим планомерный и постоянный учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных. Кроме этого, должен вестись учёт лиц, допущенных к работе с персональными данными в автоматизированной информационной системе.
В случае выявления фактов несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных и/ или другим нарушениям, приводящим к снижению уровня защищённости персональных данных в процессе эксплуатации, необходимо проведение служебных проверок и составление заключений по разработке и принятию мер по предотвращению возможных опасных последствий подобных выявленных нарушений.
В целом предлагаемый комплекс мероприятий по обеспечению безопасности персональных данных при их вводе, хранении, обработке в АИС должен обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в автоматизированных информационных системах.
Библиографический список
1. Бойко А. П. Взаимодействие кадровых подразделений ОВД МВД России и образовательных учреждений МВД России // Информационная безопасность регионов. - 2009. - № 2. -ISBN 1995-5731.
2. Хакеры бьют все рекорды: 5 000 000 новых угроз за три месяца // Официальный сайт Информационно-аналитического центра Anti-Malware. Раздел «Новости». URL: http:// Anti-Malware.ru (дата обращения: 06.10.2009).
