Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Разглашение информации, доступ к  которой ограничен федеральным  законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса,-

влечет наложение административного  штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч  до пяти тысяч рублей.

 

Выдержки из Федерального закона «О коммерческой тайне»:

Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (с изменениями от 2 февраля, 18 декабря 2006 г.) принят Государственной Думой 9 июля 2004 г., одобрен Советом Федерации 15 июля 2004 г., подписан Президентом Российской Федерации 29 июля 2004 г., опубликован 5 августа 2004 г.

 

Статья 11. Охрана конфиденциальности информации

в рамках трудовых отношений

1. В целях охраны конфиденциальности  информации работодатель обязан.

• ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;
• ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
• создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

2. Доступ работника к информации, составляющей коммерческую тайну,  осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

3. В целях охраны конфиденциальности информации работник обязан.

• выполнять установленный работодателем режим коммерческой тайны;
• не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
• передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
• Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
• Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей.

 

 

 

 

 

 

 

 

 

Глава 3. Подготовка информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ «О персональных данных».

3. 1. Анализ информационной системы (ИС) компании.

На данной стадии дипломной работы необходимо проанализировать информационные потоки, циркулирующие в ИС компании. При этом из всей совокупности обрабатываемой информации определяются информационные ресурсы, содержащие в себе персональные данные, а также технические средства, позволяющие осуществлять обработку ПДн. Техническими средствами будем называть средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах. По результатам анализа составляется перечень ИСПДн, подлежащих защите, утверждаемый руководителем.

Результатом анализа ИС должен быть некий список, содержащий факты получения/обработки/хранения информации с ПДн. По каждому инциденту необходимо дать следующие описания:

• Цель получения ПДн;
• Механизм получения ПДн;
• Перечень получаемых ПДн;
• Механизм обработки ПДн;
• Место хранение ПДн в ИС;
• Сотрудники, обрабатывающие ПДн;
• Сотрудники, имеющие доступ к ПДн в ИС;

 

Далее осуществим анализ структуры  информационной системы и определим:

• перечень автоматизированных рабочих мест, обрабатывающих ПДн;
• перечень серверного, коммутационного и сетевого оборудования;
• используемое в ИСПДн общесистемное и прикладное программное обеспечение;
• наличие и типы средств межсетевого экранирования в распределенных ИСПДн;
• наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена.

3.1.1. Общее состояние процессов обработки ПДн в организации.

В результате проведённого анализа  ИС было выявлено следующие факты  обработки ПДн в ИС (Таблица 1):

Таблица 1.

№ п/п	Наименование подразделения	ПДн	Место обработки/хранения ПДн
1	Отдел маркетинга	ФИО, паспортные данные, дата рождения, сведения о работе (должность, место работы)	Анкета на получение дисконтной карты, анкета участника конференции (семинара)
2	Отдел по работе с ключевыми клиентами	ФИО, паспортные данные	Сканированные копии паспортов сотрудников
3	Отдел продажи ПО	ФИО, паспортные данные	Сканированные копии паспортов сотрудников
4	Отдел бизнес- интеграции	ФИО, паспортные данные, дата рождения, сведения о работе (должность, место работы)	Таблицы в базах данных бизнес-приложения
5	Бухгалтерия	ФИО, паспортные данные, дата рождения, сведения о работе (должность, место работы), сведения о доходах	1С: Бухгалтерия
6	Отдел кадров	ФИО, паспортные данные, дата рождения, сведения о работе (должность, место работы), сведения о доходах	1С:Зарплата и Кадры, файловые ресурсы

В итоге, ИСПДн существуют в том  или ином виде в 6 подразделениях, неавтоматизированная обработка ПДн производится в 3 подразделениях.

Основные виды нарушений неавтоматизированной обработки персональных данных:

• отсутствие обособления ПД в формах анкет и бланков;
• отсутствие документированного уведомления лиц обрабатывающих ПДн об ответственности за их разглашение;
• анкеты и бланки не содержат указания цели обработки ПДн, явного согласия владельца ПДн на их обработку ООО «Арсенал+» или его представителями;
• зачастую публичный доступ к документам содержащим ПДн;
• отсутствие процедуры транспортировки ПДн, исключающей их утерю.

 

Основные виды нарушений в информационных системах обработки ПДн (ИСПДн):

• зачастую публичный доступ к электронной копии ПДн (например, отсканированные копии паспортов) или к данным содержащим ПДн;
• отсутствие криптографической защиты мест хранения ПДн;
• отсутствие аудита доступа к ПДн в ИСПДн.

В целом же можно сказать, что  нарушения в ИСПДн по факту обусловлены существующей архитектурой информационных систем общего назначения, в которых «попутно» ведется обработка персональных данных.

 

3.1.2. Анализ обработки ПДн в  ИС.

Функционально, ИСПДн можно выделить в три категории:

1. 1С – Зарплата и кадры, Бухгалтерия;
2. База данных бизнес-приложения;
3. Файловые ресурсы.

 

Обработка данных в 1С  – Зарплата и кадры, Бухгалтерия.

Обработка данных первой категории  ведется сотрудниками отдела кадров и бухгалтерии, объем ПДн порядка 400-500 записей, что позволяет квалифицировать их как ПДн третьего класса и уйти от использования оборудования РМ средствами защиты от ПЭМИН. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется через терминальный сервер. Сервер баз данных вынесен в отдельную подсеть и нуждается в защите межсетевым экраном не ниже 5 класса.

С точки зрения подзаконных актов  и постановлений вышеупомянутая схема работы имеет несколько  нарушений:

• Компьютеры, на которых производится обработка ПДн включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;
• Доступ к данным имеется у всех сотрудников имеющих доступ в 1С:Зарплата и Кадры  или 1С:Бухгалтерия, при этом не установлен нормативным документов перечень лиц обрабатывающих ПДн, и нет ознакомления указанных лиц о факте обработке ими ПДн;
• Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения со<span class="dash041e_0431_044b_0447_043d_044b_0439__Char" style=" text-decoratio