В настоящее время особо остро стоит вопрос о защите персональных данных в государственных учреждениях. Одним из первых этапов разработки системы защиты персональных данных требует правильного определения типа учреждения, который зависит от типа и категории используемой информационной системы персональных данных (далее — ИСПДн).
В данной статье рассматриваются существующие типы ИСПДн, характерные для них черты, а также приведены примеры каждого типа в зависимости от его назначения (на примере образовательных учреждений).
Учреждения разделяют на три типа в зависимости от типа используемой в учреждении ИСПДн. В свою очередь, ИСПДн разделяют на три категории в зависимости от целей и способов обработки ПДн. К каждому типу предъявляются различные требования к безопасности, в соответствии с ФЗ-152 «О защите персональных данных». Более высокий тип учреждения включает в себя требования более низких типов.
Рис. 1.
Рис. 2.
Примечания:
− Правила работы и функционал программ ИСПДн от вышестоящих организаций устанавливаются вышестоящими организациями;
− В ИСПДн бухгалтерского и кадрового учета, а также ИСПДн от вышестоящих организация данные поступают из личных дел, школьных списков и передаются через интернет, внешние накопители информации или в бумажном виде;
− Электронные дневники и журналы успеваемости учащихся на сайте учреждения, к которым учащиеся или их родители могут получить доступ по собственному паролю на сайте школы, не являются ИСПДн в случае, если пользователю предоставляются данные, относящиеся только к нему, а ПДн содержат только фамилию и имя;
− Размещение на сайте фотографии субъекта ПДн не требует согласия субъекта ПДн в случае, если помимо фотографии не указана дополнительная информация, позволяющая идентифицировать субъекта. Так же не требует согласия размещение общих фотографий с недостаточным для идентификации набором ПДн (например, только имя или класс учащегося).
Каждая из трех категорий ИСПДн (бухгалтерского и кадрового учета, обязательные от вышестоящих организаций, собственные учреждения) по своей структуре может быть представлена как АРМ, ЛИС или РИС. Исходя из этого можно выделить 9 типов ИСПДн учреждения.
Автоматизированное рабочее место.
Общие черты АРМ бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:
− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;
− База данных и ПО расположены на одном компьютере;
− Отсутствует подключение к ЛВС;
− Обработка данных обычно производится в однопользовательском режиме;
− Категория обрабатываемых данных в общем случае — 3;
− Класс ИСПДн в общем случае — К3.
В случае, когда на одном рабочем месте установлено несколько систем, для работы с различными базами данных, каждая из них считается отдельной ИСПДн с отдельной классификацией.
Пример АРМ бухгалтерского и кадрового учета: компьютер главного бухгалтера, обработку ПДн сотрудников школы производит главный бухгалтер с помощью специального ПО — «1С: Бухгалтерия».
Пример АРМ обязательной ИСПДн от вышестоящих организаций: компьютер завуча, обработку ПДн учащихся производит завуч или секретарь с помощью специального ПО — «База данных ЕГЭ».
Пример АРМ собственной ИСПДн учреждения: компьютер в учительской, обработку ПДн учеников производят преподаватели или ответственное лицо для учета и ведения статистики успеваемости, на основе которой выставляются итоговые оценки за четверть, производится в программе собственной разработки.
Локальная информационная система.
Общие черты ЛИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:
− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;
− База данных и ПО расположены на разных компьютерах внутри одного здания учреждения;
− Компьютеры объединены в ЛВС;
− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;
− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);
− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).
Пример ЛИС бухгалтерского и кадрового учета: два компьютера в бухгалтерии, объединенные в ЛВС; обработку ПДн сотрудников школы производят со своих компьютеров главный бухгалтер и помощник главного бухгалтера с помощью специального ПО — «1С: Бухгалтерия».
Пример ЛИС обязательной ИСПДн от вышестоящих организаций: база данных расположена на сервере школы, обработку ПДн производят со своих компьютеров администратор и директор школы с помощью клиентской части специального ПО – «Школьный офис».
Пример ЛИС собственной ИСПДн учреждения: база данных расположена на сервере школы, а разграниченный доступ к ней для всех пользователей осуществляется с помощью любого компьютера внутренней ЛВС с помощью клиентской части ПО собственной разработки — «База данных «Школьная».
Распределенная информационная система.
Общие черты РИС бухгалтерского и кадрового учета, обязательных ИСПДн от вышестоящих организаций и собственных ИСПДн учреждения:
− Объем обрабатываемых ПДн не превышает 1000 записей или относятся к одной организации;
− База данных и ПО расположены на разных компьютерах в различных зданиях;
− Компьютеры объединены в ЛВС и подключены к сети общего пользования (Интернет);
− Обработка данных обычно производится в многопользовательском режиме с разграничением прав доступа;
− Наличие возможности удаленного доступа к базе данных;
− Категория обрабатываемых данных в общем случае — 3 (для собственных ИСПДн может варьироваться от 1 до 4);
− Класс ИСПДн в общем случае — К3 (для собственных ИСПДн может принимать значения К4, К3 или К1).
Пример ЛИС бухгалтерского и кадрового учета: аналогичен РИС бухгалтерского и кадрового учета, но компьютеры различных отделов бухгалтерии расположены в двух зданиях.
Пример ЛИС обязательной ИСПДн от вышестоящих организаций: аналогичен РИС обязательной ИСПДн от вышестоящих организаций, но администратор имеет удаленный доступ к базе данных с помощью клиентской части специального ПО — «Карта учащегося».
Пример ЛИС собственной ИСПДн учреждения: аналогичен РИС собственной ИСПДн учреждения, но ученики, преподаватели и администраторы сети имеют удаленный доступ к базе данных ПО собственной разработки «Многомодульная информационная система управления школы» с помощью веб-интерфейса через сайт школы.
Заключение.
Важно понимать, что определенные типы ИСПДн больше подходят для одних задач и совершенно неуместны для других. Так, например, АРМ бухгалтерского и кадрового учета является наиболее распространенным в учреждениях, а РИС бухгалтерского и кадрового учета существует только как теоретическая модель. Но в тоже время РИС собственных ИСПДн встречается гораздо чаще, чем ЛИС, а АРМ для этих целей в учреждениях не используется.
Это связано с тем, что более сложные структуры ИСПДн имеют большие требования к защите, а также подвержены большему числу угроз. Этим обоснованно использование в отделах бухгалтерии и кадров преимущественно АРМ, управляет которыми ответственное лицо. А собственные ИСПДн учреждений обычно разрабатываются для более простых задач и требуют меньшего уровня защиты, ввиду объема и категории обрабатываемых ПДн. Кроме того, к именно к ним нередко требуется возможность удаленного доступа, поэтому для целей собственных ИСПДн предпочтительнее использование РИС.
Литература:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
- Т. М. Пономарев, Д. О. Дудко, С. А. Кортиков Методические рекомендации для организации защиты информации при обработке персональных данных в государственных образовательных учреждениях города Москвы. М.: 2010. 142 с.
