В данной статье рассмотрена проблема обработки персональных данных на предприятии. Предложено решение данной проблемы.

Проблема защиты персональных данных существует уже давно. Еще в Европе в 80-х годах была принята «Конвенция о защите личности при автоматизированной обработке персональных данных».

В 2005 году Государственная дому РФ ратифицировала эту Конвенцию, приняв соответствующий закон №-160 ФЗ « О ратификации Конвенции Совета Европы « О защите физических лиц при автоматизированной обработке персональных данных»

Впоследствии российское законодательство расширило эти требования, приняв Закон о « персональных данных» связав все требования, которые и раньше присутствовали в законодательстве и конституции.

Целью Закона « О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных , в том числе защите его на неприкосновенность частной жизни, личную и семейную тайну.

В заключении вступления стоит отметить что в Указе Президента РФ « Об утверждении Перечня сведений конфиденциального характера» говорится следующие.

«Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном федеральным законами случаях, определенны как информация ограниченного распространения и подлежат определенной защите».

Основная часть.

Трудно найти организацию, в которой не велась бы обработка персональных данных. Это и составление бухгалтерских отчетностей, и ввод антропометрических данных, и введение баз данных.

И разумеется у любого оператора персональных данных есть свои обязанности, а именно:

• Предотвращение несанкционированного доступа к Персональный Данным или передачи их лицам, не имеющим права доступа к такой информации;
• Своевременное обнаружение фактов несанкционированного доступа к Персональным Данным
• Недопущение воздействия на технические средства автоматизированной обработки Персональных Данных, в результате которого может быть нарушена их функциональность
• Незамедлительное восстановление Персональных Данных, и их модификация, если это потребуется, или же немедленное уничтожение в случае несанкционированного доступа к ним.
• Постоянный контроль над уровнем защищенности Персональных данных.

Все эти требования сформулированы в 149-ФЗ « Об информации, информационных технологиях, и о защите информации»

Однако, даже не смотря на достаточно жестко расписанные задачи операторов Персональных Данных, камень преткновения кроется вовсе не в людях, которые должны следить за данными, а в самих технических средствах.

Многие из них, не включены в ФАП ( федеральный алгоритм программных средств), а обработка персональных данных на них проводится постоянно.

И проблема вовсе не в стремление руководства компаний сэкономить, покупая не сертифицированные программное обеспечение, и не в некомпетентности служб Информационной безопасности предприятий.

Причина кроется в отсутствии сертифицированных аналогов, на которые могли бы заменить эти средства. Недостаток функциональности, не поддерживание форматов сохранения файлов, и порой, трудность освоения в кротчайшие и высокие трудозатраты для установки на автоматизированных рабочих местах. Все это отталкивает руководство от использования подобных программных продуктов.

Есть несколько путей решения этой проблемы которые я могу предложить.

Внесение наиболее распространенных программных средств, которые установлены на предприятии в Фонд Алгоритмов Программных средств.

(Из личного опыта)

В большинстве случаев на предприятиях для обработки большинства Персональных Данных используются текстовые редакторы, не сертифицированные и не включенные в ФАП.

После проведения ревизии программных средств результаты показали, что данными текстовыми редакторами пользуется большинство сотрудников организации. Аналога для замены данного программного средства, который обладал бы теми же функциями и включенного в ФАП не было, и было принято решение включить данный текстовый редактор в ФАП, дабы не останавливать работу предприятия.

«Однако стоит отметить, что данное решение проблемы вовсе не является панацеей. Время не стоит на месте, и новые текстовые редакторы выходят достаточно часто, и многие Европейские конторы переходят на них взамен устаревших версий. И в этих новых редакторах используется уже другая система расширения файлов при их сохранении, что может повлечь сбои при документо-обмене между двумя заинтересованными организациями».

Но этот способ решения проблемы актуален только для тех программных продуктов, отказ от использования которых неизменно приведет к полной остановке работе предприятия. Во всех остальных случаях у предприятий не остается выхода, как, либо закупить сертифицированные программные средства, либо, если у них есть возможность разрабатывать собственные Информационные Системы.

Несомненным плюсом разработки собственной Информационной Системы является ее гибкость и направленность на выполнение именно тех задач, которые наиболее остро стоят перед сотрудникам предприятия.

Но для разработки Информационной Системы необходимо сделать следующие.

1. Провести анализ Информационной системы персональных данных:

Определить какие именно угрозы наиболее вероятны для предприятия, классифицировать Информационную Систему, и составить модели угроз.

2. Разработать систему защиты Персональных данных.

Определить необходимость применения тех или иных средств защиты, касательно работы данного предприятия, определение технологии обработки Персональных Данных,.

3. Установка средств защиты информации.

Основной сложностью, в данном в данном мероприятии является именно выбор средства защиты, будь то средство антивирусной защиты, либо разграничители доступа к Автоматизированным рабочим местам. Выбор крайне важен, так как руководитель, или специалист отдела закупок должен четко представлять , какие именно функции нужны для обеспечения наиболее эффективного обеспечения информационной безопасности.

4. Провести обучение лиц использующих данную. ИС.
5. Организовать учет носителей информации

Заключение.

В данной статье рассматривались наиболее вероятные проблемы с которыми сталкиваются предприятия при использовании программных средств, с помощью которых происходит обработка персональных данных.

Поскольку данный вопрос нужно разбирать для каждого предприятия отдельно, руководствуясь направлением его деятельности, в статье были предложены общие варианты решения данной проблемы, актуальные как для малых компаний, коллектив которых включает в себя несколько человек, так и для крупных, коллектив которых насчитывает тысячи сотрудников.

Литература.

1. Журнал Chief Information Officer сентябрь 2010.
2. http://www.compas.ru/webinar/20100825/20100825.html выступление Василия Сошнева на вебинаре компании « Компас».
3. ФАП ФТС РФ.