Научная статья на тему 'Соблюдение уровня защищенности персональных данных'

Соблюдение уровня защищенности персональных данных Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
394
64
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ СИСТЕМА / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / СРЕДСТВА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ / INFORMATION SYSTEM / PERSONAL DATA / PERSONAL DATA PROTECTION MEANS

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Чечуга Антон Олегович

Рассмотрена структура нормативно-правовой базы в области защиты персональных данных, представлена схема контроля защиты персональных данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Чечуга Антон Олегович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

COMPLIANCE OF THE LEVEL OF PROTECTION OF PERSONAL DATA

The structure of the regulatory framework in the field of personal data protection is considered, the scheme for monitoring the protection of personal data is presented.

Текст научной работы на тему «Соблюдение уровня защищенности персональных данных»

УДК 004.62

СОБЛЮДЕНИЕ УРОВНЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ

ДАННЫХ

А.О. Чечуга

Рассмотрена структура нормативно-правовой базы в области защиты персональных данных, представлена схема контроля защиты персональных данных.

Ключевые слова: информационная система, персональные данные, средства защиты персональных данных.

Информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств [1].

Персональные данные это зафиксированная на материальном носителе информация о конкретном человеке (отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком) [2].

Вступление в силу ФЗ № 152 предполагает приведение информационных систем в соответствие с требованиями законодательства.

Требования Федерального закона № 152-ФЗ «О персональных данных» распространяются на все государственные и коммерческие организации, а также физических лиц, обрабатывающих в своих информационных системах персональные данные независимо от размера и формы собственности.

В общем виде структура нормативно-правовой базы в области защиты персональных данных представлена на рис. 1.

На основании ФЗ №152 можно отметить следующие основные моменты:

1) Под действие нормативного акта подпадают абсолютно все организации, так как на попечении каждой организации находятся персональные данные, как минимум, ее служащих, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков;

2) Конфиденциальность информации является обязательным требованием, причем под ней понимает защита от распространения (синоним слову «утечка»). Перейдем теперь к конкретным положениям закона, требующим модификации ИТ-инфраструктуры и системы ИБ.

3) Принятие в Российской Федерации ФЗ № 152 способствует не только лучшей защищенности субъектов ПДн, но и укреплению внешнеполитических позиций Российского государства, росту правосознания граждан, формированию гражданского общества в нашей стране.

356

Работы по обеспечению безопасности персональных данных при их обработке являются неотъемлемой частью работ по созданию соответствующих информационных систем. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Федеральный закон «О персональных данных» № 152

Положение об особенностях

обработки ПДн, осуществляемых без исп-я средств автоматизации ПП №687 от 15.09.2008

Требования к защите ПДн

при обработке в информационных системах ПП №1119 от01.11.2012

Перечень мер, направленных на обеспечение выполнения ФЗ №152 государственными и муниципальными органами ПП№211 от 21.03.2012

Состав и содержание организационных и технических мер по

обеспечению безопасности _Приказ ФСТЭК РФ от 18.03.2013 №21_

Нормативные и руководящие документы

Рис. 1. Структура нормативно-правовой базы в области защиты персональных данных

357

Построение системы защиты ПДн в организации является сложным многоэтапным процессом, состоящим из следующих основных этапов: обследование, проектирование и внедрение, более подробно описанных в предыдущих шагах настоящего методического пособия. Распространенным случаем является то, что на этом организация-оператор останавливается, посчитав, что завершение проекта по созданию комплексной СЗПДн означает полное выполнение всех требований к безопасности.

Однако это не так, поскольку кроме выполнения всех установленных требований необходимо еще обеспечить и контроль их исполнения в ходе эксплуатации ИСПДн.

За безопасность персональных данных отвечает оператор системы, который их обрабатывает, или уполномоченное им лицо.

Оператор системы выбирает средства защиты информации в соответствии с нормативными актами ФСБ России и ФСТЭК России.

Выполнение требований контролируется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юрлиц и ИП. Последние должны иметь лицензию на занятие деятельностью по технической защите конфиденциальной информации.

Контроль проводится не реже 1 раза в 3 года. Конкретные сроки определяются оператором (уполномоченным лицом).

«Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статей 19 Федерального закона «О персональных данных» [3].

Кроме того, для эффективного использования СЗПДн необходимо ее постоянно совершенствовать исходя из результатов периодического анализа.

Целью контроля за обеспечением уровня защищенности ПДн является проверка того, что процессы и системы обработки и защиты ПДн в организации:

- соответствуют требованиям, предъявляемым законодательством к защите и обработке ПДн;

- эффективно реализованы и сопровождаются;

- выполняются в соответствии с ожиданиями, сформированными при проектировании и внедрении системы защиты ПДн.

После того, как система обработки ПДн прошла все этапы представленного алгоритма, оператору остается ее поддерживать. Для этого предлагается использовать циклическую схему, представленную на рис. 2.

При проверках используются следующие методы:

Документационный - трудоемкий, достоверность низкая (документы зачастую редко обновляются).

Анкетирование - наиболее применим в крупных компаниях, в случае хорошей организации занимает мало времени.

Интервьюирование - наиболее достоверный метод обследования.

Классификация, разработка и внедрение организационных и технических систем защиты информации

Анализ актуальности

перечня ИСПДн и обрабатываемых ПДн и эффективности принятых мер по защите

Определение перечня ИСПДн и плана действий по их анализу и защите

Внесение изменений

в модели угроз и планы деятельности по защите ПДн

Рис. 2. Процесс управления защитой ПДн

В случае небольших компаний целесообразно сразу проводить интервьюирование. В крупных компаниях проводится выборочное интервьюирование по результатам анкетирования.

Список литературы

1. Федеральный закон от 27 июля 2006. № 152-ФЗ «О персональных данных». М., 2006.

2. Баймакова И. А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных: методическое пособие. М.: 1С, 2011. 268 с.

3. Постановление правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн». М., 2007.

4. Чечуга О.В., Корелина В.Д. Порядок проведения классификации информационных систем персональных данных // Известия Тульского государственного университета. Технические науки. Тула: Изд-во ТулГУ, 2014. Вып. 3. С. 185-189.

Чечуга Антон Олегович, студент, СкескитО^шаИ ги, Россия, Тула, Тульский государственный университет

COMPLIANCE OF THE LEVEL OF PROTECTION OF PERSONAL DA TA

A.O. Chechuga

The structure of the regulatory framework in the field of personal data protection is considered, the scheme for monitoring the protection of personal data is presented.

Key words: information system, personal data, personal data protection means.

Chechuga Anton Olegovich, student, ChechugaO@,mail. ru, Russia, Tula, Tula State University

УДК 519.24

ПЛАНИРОВАНИЕ ВХОДНЫХ СИГНАЛОВ ДЛЯ МОДЕЛЕЙ СТОХАСТИЧЕСКИХ СИСТЕМ С ИСПОЛЬЗОВАНИЕМ ФУНКЦИЙ

УОЛША

В.М. Чубич, Е.В. Филиппова

Рассмотрены теоретические и прикладные аспекты задачи планирования эксперимента для стохастических непрерывно-дискретных систем с использованием функций Уолша. Разработанное программно-математическое обеспечение апробировано на примере одной модельной структуры с использованием критерия D- оптимальности. Результаты, полученные компьютерным моделированием, показали эффективность указанного подхода при оптимальном планировании эксперимента.

Ключевые слова: стохастическая система, параметризация входного сигнала, функции Уолша, планирование эксперимента, информационная матрица, критерий оптимальности.

Введение. Применение аппарата теории планирования эксперимента при построении моделей динамических систем позволяет повышать точность оценивания неизвестных параметров за счет более полного учета специфики объекта исследования и сбора наиболее информативных данных.

В целом можно сказать, что планирование оптимальных входных сигналов представляет собой наиболее важный и сложный этап процедуры активной параметрической идентификации. При заданной структуре математической модели эта процедура предполагает выполнение следующих этапов [1-7]:

1. Вычисление оценок неизвестных параметров по данным измерений, соответствующим некоторому начальному плану идентификационного эксперимента.

2. Синтез на основе полученных оценок оптимального по некоторому выбранному критерию плана.

3. Пересчет оценок неизвестных параметров по данным измерений, соответствующим синтезированному плану.

360

i Надоели баннеры? Вы всегда можете отключить рекламу.