18. Конфиденциальная информация в деятельности информационно-аналитических служб. Обработка персональных данных. Виды тайн.18. Конфиденциальная информация в деятельности информационно-аналитических служб. Обработка персональных данных. Виды тайн.
Любой ИАС приходится работать с персональными данными просто потому что сейчас с ними все работают, никуда не денешься. Собираются как данные сотрудников, так и данные клиентов. Регулируется все это ФЗ «О персональных данных».
О терминологии:
Персональные данные – это любые сведения, относящиеся прямо или косвенно к определенному или определяемому физическому лицу. Это лицо – субъект персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу.
ИАС должна заняться созданием соответствующих документов для организации, чтобы обеспечить защиту ПДн сотрудников и клиентов.
Обязательные (в том числе предварительные) этапы работ по защите персональных данных:
• Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
• Выделить бизнес-процессы, в которых обрабатываются персональные данные.
• Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
• Определить круг информационных систем и совокупность обрабатываемых ПДн.
• Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
• Выработать меры по снижению категорий обрабатываемых ПДн.
• Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
• Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
• Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
• Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
• Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
• Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
• Подготовить технический проект по защите ИСПДн и помещений.
• Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
• Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
• Взять согласия на обработку ПДн с субъектов персональных данных;
• Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Виды тайн: государственная, служебная, профессиональная, частной жизни.
В библиотеках сейчас паспортные данные у пользователей берутся и вносятся в систему, но! Они тут же кодируются, поэтому библиотекарь после внесения паспортных данных (серия, номер) в систему не может их уже узнать. Все ради безопасности) Не знаю, зачем вам это знать, но ладно.
Еще интересная с практической точки зрения ссылка: www.rstnw.ru/7step.html