18. Конфиденциальная информация в деятельности информационно-аналитических служб. Обработка персональных данных. Виды тайн.18. Конфиденциальная информация в деятельности информационно-аналитических служб. Обработка персональных данных. Виды тайн. Любой ИАС приходится работать с персональными данными просто потому что сейчас с ними все работают, никуда не денешься. Собираются как данные сотрудников, так и данные клиентов. Регулируется все это ФЗ «О персональных данных». О терминологии: Персональные данные – это любые сведения, относящиеся прямо или косвенно к определенному или определяемому физическому лицу. Это лицо – субъект персональных данных. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу. ИАС должна заняться созданием соответствующих документов для организации, чтобы обеспечить защиту ПДн сотрудников и клиентов. Обязательные (в том числе предварительные) этапы работ по защите персональных данных: • Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн). • Выделить бизнес-процессы, в которых обрабатываются персональные данные. • Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. • Определить круг информационных систем и совокупность обрабатываемых ПДн. • Провести категорирование ПДн и предварительную классификацию информационных систем (ИС). • Выработать меры по снижению категорий обрабатываемых ПДн. • Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн). • Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты. • Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн. • Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн. • Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты. • Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты. • Подготовить технический проект по защите ИСПДн и помещений. • Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты); • Спроектировать и внедрить систему защиты персональных данных (СЗПДн); • Взять согласия на обработку ПДн с субъектов персональных данных; • Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Виды тайн: государственная, служебная, профессиональная, частной жизни. В библиотеках сейчас паспортные данные у пользователей берутся и вносятся в систему, но! Они тут же кодируются, поэтому библиотекарь после внесения паспортных данных (серия, номер) в систему не может их уже узнать. Все ради безопасности) Не знаю, зачем вам это знать, но ладно. Еще интересная с практической точки зрения ссылка: www.rstnw.ru/7step.html