Сергей Терехов – Защита персональных данных курс лекций (страница 4)

1.8.1.5.

Однопользовательская информационная система

Если информационная система обслуживает одного пользователя, то она называется однопользовательской. Редко встречающийся, но практически существующий вид информационной системы.

1.8.1.6.

Многопользовательская информационная система

Информационная система, обслуживающая несколько пользователей, называется многопользовательской. Как правило, большая часть информационных систем – многопользовательские.

1.8.1.7.

Информационная система с разграничением прав доступа к информации

Информационная система, предоставляющая различные права доступа различным пользователям, называется информационной системой с разграничением прав доступа. Например, руководителю предприятия может быть предоставлен доступ к платежной ведомости только в режиме просмотра, главному бухгалтеру – полный доступ, а бухгалтеру, учитывающему основные средства и материалы, доступ будет запрещен.

1.8.1.8.

Государственная и муниципальная информационная система

В контексте обработки персональных данных может возникнуть определенная трудность у лиц государственных (муниципальных, муниципальных казенных) организаций (предприятий, учреждений) в определении того, какие информационные системы относят к государственным информационным системам (ГИС) или к муниципальным информационным системам (МИС). Например, относится ли информационная система, обрабатывающая персональные данные сотрудников государственного учреждения в отделе бухгалтерского учета или в отделе кадров, к ГИС?

Общепринятого ответа на этот вопрос пока не существует в силу неоднозначного толкования определений этих понятий в нормативно-правовых актах. Версия автора изложена ниже.

Перечень мер и средств защиты информации в ГИС и МИС предъявляют намного более строгие требования и, соответственно, их защита более затратная.

1.8.1.8.1.

Государственная информационная система

На основании ст. 13 п.1 ФЗ от 27 июля 2006 г. № 149 «Об информации, информационных технологиях и защите информации» «государственные информационные системы – федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов». Цель создания ГИС определяется в ст. 14 п. 1 «государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях».

Для справки, государственный орган – особая политическая организация (или одно должностное лицо), наделенная необходимыми материальными средствами, государственно-властными полномочиями (компетенцией), в том числе правом принятия правовых актов внешнего действия, имеющая четкую организационную структуру (право единоличных органов создавать при себе государственные органы).

Анализируя приведенные выше определения, приходим к следующему выводу. Информационные системы обработки персональных данных, такие как «бухучет» государственного предприятия, учреждения, государственной организации или другого государственного органа не реализуют полномочия государственных органов и не обеспечивают обмен информацией между этими органами для реализации полномочий, поэтому не могут считаться ГИС.

Например, Министерство иностранных дел РФ с целью реализации своих полномочий использует Федеральную Государственную информационную систему (ФГИС) «Автоматизированная система оформления приглашений иностранных граждан на территорию Российской Федерации МИД России». Решение о создании данной ГИС принято Правительством Российской Федерации (государственным органом) за № 459 от 1995-05-15. Цель данной ГИС – реализация полномочий министерства, в частности, «принятие решений о выдаче виз иностранным гражданам и лицам без гражданства».

Для учета материальных ценностей в структуре МИД имеется отдел бухгалтерского учета, который используют информационную систему «бухучет», автоматизирующую процессы учета и отчетности. Но информационная система «бухучет» МИД не реализует никаких полномочий министерства в отношении взаимодействия его с иностранными государствами, иностранными гражданами и лицами без гражданства.

В данном случае, как ФГИС, так и информационная система «бухучет» обрабатывают персональные данные. Но к данной ФГИС должны применяться требования приказа Федеральной служба по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». К системе «бухучет» должны применяться требования другого приказа той же службы от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

1.8.1.8.2.

Муниципальная информационная система

Муниципальный орган – орган местного самоуправления, обладающий правом принимать в рамках общих законов обязательные в пределах данного региона решения, вводить местные налоги и платежи, формировать и распределять местные бюджеты, осуществлять социальные меры, направленные на поддержку жителей региона.

Информационные системы, созданные на основе решения (приказа, постановления, распоряжения) руководства муниципального органа следует отнести к муниципальным информационным системам (МИС). К таким системам на основании п.3 раздела «Общие положения» приказа ФСТЭК от 11 февраля 2013 г. № 17 («Настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении), как ни парадоксально, должны применяться требования именно этого приказа.

1.8.1.8.3.

Информационная система муниципального казенного учреждения

Казенное учреждение – это государственное (муниципальное) учреждение, оказывающее государственные (муниципальные) услуги, выполняющее работы и (или) исполняющее государственные (муниципальные) функции в целях обеспечения реализации полномочий органов власти или органов местного самоуправления, финансовое обеспечение деятельности которого осуществляется за счет средств бюджета на основании бюджетной сметы.

Муниципальное казенное учреждение (МКУ) не является органом местного самоуправления (муниципальным органом). Поэтому информационные системы, созданные на основе решений руководства МКУ (например, «учет кадров»), не могут относиться к МИС. К таким информационным системам, в частности, к системам обработки персональных данных, применим приказ ФСТЭК от 18 февраля 2013 г. № 21.

Если информационная система казенного учреждения создана на основании решения муниципального или регионального органа (распоряжения губернатора, закона субъекта Российской федерации и т.д.), то к ней должен быть применен приказ ФСТЭК от 11 февраля 2013 г. № 17.

1.9. 

Информационная безопасность

Под информационной безопасностью будет пониматься защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам (обладателям), пользователям информации и поддерживающей инфраструктуре. Нарушение информационной безопасности – это нарушение конфиденциальности, целостности или доступности информации.

В последнее время получает популярность в среде профессионалов информационной безопасности термин «киберустойчивость», который предположительно придет на смену термину «информационная безопасность»

Каждая информационная система имеет свою цель, определяемую ее владельцем, конкретным предприятием. Только, исходя из цели и ценности информационного актива, можно понять, какие грани информационной безопасности наиболее важны и важны ли вообще.

Если это информационная система учебного учреждения, то вполне вероятно, что нарушение конфиденциальности, целостности или доступности информации не приведет к неприемлемому ущербу: занятия можно перенести без особых потерь.

Если информационная система принадлежит режимному предприятию, обрабатывающему секретную информацию, то на первом месте находится защита конфиденциальности, а остальные свойства, хотя и важны, но в этом контексте все же второстепенны.

Если, наконец, это информационная система лечебного учреждения, которая является существенным компонентом системы поддержания жизнедеятельности больного человека, нарушение любого из свойств информации может привести к непоправимым последствиям, например, летальному исходу.

1.10. 

Защита информации

У руководства любого предприятия, в котором используются информационные системы, в какой-то момент времени (надеемся) возникает вопрос, в каком состоянии находится защищенность информационных активов, достаточно ли предпринятых мер, чтобы спать спокойно? Получить ответ на этот вопрос совсем не просто.