Данные, обрабатываемые автоматизированными системами.
Одной из основных современных тенденций социально-экономического развития является информатизация всех областей человеческой деятельности. Основным инструментом реализации этого всеобъемлющего процесса являются информационные системы - системы хранения, обработки, преобразования, передачи, обновления информации с использованием компьютерной и другой техники. Понятие " информационная система" (ИС) включает в себя:
- информационные ресурсы - документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, депозитариях, музейных хранилищах и т.д.);
- информационные массивы, представляющие собой упорядоченную совокупность данных и (или) документов, необходимых для решения задач определенной области деятельности;
- информационные технологии, которые можно определить как систему методов и способов сбора, хранения, анализа, обработки и передачи информации;
- различные средства, обеспечивающие реализацию информационных технологий и тем самым функционирование всей ИС. К таким средствам относят программные, технические, лингвистические, правовые, организационные и др.
В сфере управленческой деятельности, основанной на переработке данных и производстве новой информации, необходимой для принятия управленческих решений, как ни в какой другой активно используются ИС.
Основой современных ИС являются компьютерные и коммуникационные технологии. При анализе сущности современных автоматизированных ИС чрезвычайно полезным оказывается учет такой характеристики информации, как структурируемость.
Структурированность - свойство, позволяющее полно (без искажений) выделять информацию из полученных в процессе обмена сигналов (при этом сигнал рассматривают как носитель информации в пространстве и времени). Данное свойство особо значимо при использовании автоматизированных средств ее сбора, хранения, анализа, обработки и передачи. Автоматизация предполагает формализованное представление (структуризацию) информации. Однако не всякая информация одинаково сохраняет свою адекватность (не ис-кажается) в процессе ее формализованного описания. Различают три степени структурированности информации, изображенных на рисунке 1.3.1.
Жестко структурируемая информация (цифровая информация) не теряет адекватности в процессе ее формализованного описания.
Слабо структурируемая информация (содержательная текстовая информация) в определенной степени теряет адекватность в процессе ее формализованного описания, но эти потери допустимы при их соотнесении с теми преимуществами, которые получают при использовании автоматизированных информационных технологий.
Не структурируемая информация не может быть формализовано описана (например, информация о картине, скульптуре, литературном произведении, позволяющая оценить их художественную особенность, ценность).
Кроме структурируемой, к основным свойствам информации относят ее семантические характеристики (или смысл), определяющие ее цель, назначение, а также ценность информации, которая выражается в таких понятиях, как содержательность, своевременность, полнота, достоверность, оперативность.
Понятие " информация" тесно связано с понятием " данные". Данные - это зарегистрированные на любых носителях сведения об объекте (реальном или вымышленном) независимо от того, дошли они до какого-либо пользователя (потребителя информации) и интересуют ли они его. В такой трактовке
информация понимается как данные, ценные для получателя.
Под потребителем (приемником) информации понимают отдельное лицо, коллектив, машинную или человеко-машинную (организационную) систему, использующие информацию/данные в целях выполнения определенной работы в процессе основной деятельности. В отличие от потребителя информации генератором (источником) информации является отдельное лицо, коллектив, машинная или человеко-машинная система, создающая сообщения в ходе (или в результате) выполнения той или иной деятельности.
Информационная потребность (ИП) - совокупность элементов информации/данных, необходимая и достаточная для эффективного выполнения заданной работы (решения задач). ИП зависит от степени подготовленности исполнителя к выполнению заданной работы, его знаний, умений, наличия уже собранной информации/данных, а также от трудоемкости и сложности заданной работы, ее внутреннего многообразия и взаимосвязей с внешней средой.
Информационная потребность удовлетворяется в результате поиска сообщений в информационной среде по информационному запросу, сформулированному на естественном языке, и в той или иной мере отражающему информационную потребность. Степень адекватности (соответствия) информационного запроса информационной потребности определяется различными факторами, основным из которых является способность человека сформулировать свою информационную потребность на естественном языке с учетом специфики как стоящей перед ним проблемы, так и информационной среды.
Любая деятельность человека или организационной системы всегда включает два компонента:
- основную деятельность, направленную на решение определенных функциональных задач;
- информационную деятельность, направленную на обеспечение основной деятельности необходимой исходной информацией для принятия решений и генерации новой информации, и для последующего распространения этой информации по каналам коммуникации.
Усложнение организационных систем и процессов их функционирования привело к необходимости организационного обособления информационной и основной деятельности. Это и привело к образованию информационных систем как самостоятельных структур. Информационная система (ИС) предназначена для сбора, хранения, обработки и распространения информации. Цель ее функционирования - информационное обслуживание основной деятельности организационной системы.
При организационном обособлении ИС может решать две группы задач.
Первая группа задач связана с чисто информационным обеспечением основной деятельности: отбор необходимых данных, их обработка, хранение,
поиск и выдача исполнителю основной деятельности с заранее заданной полнотой, точностью и оперативностью в наиболее удобной для исполнителя форме.
Вторая группа задач связана с обработкой полученной информации/данных в соответствии с теми или иными алгоритмами или программами с целью подготовки решений задач, стоящих перед исполнителем основной деятельности (так называемых " пользовательских" задач). Задачи первой группы - это задачи информатизации общества " вширь". Задачи второй группы - задачи информатизации общества " вглубь".
Для решения поставленных задач ИС должна выполнить следующие функции:
- отбор сообщений из внутренней и внешней среды, необходимых для реализации основной деятельности;
- ввод информации в ИС;
- хранение информации в памяти ИС, ее актуализация и поддержание целостности;
- обработка, поиск и выдача информации в соответствии с заданными исполнителем основной деятельности требованиями. Обработка может вклю-чать и подготовку вариантов решения пользовательских прикладных задач по соответствующим алгоритмам/программам.
Независимо от сферы деятельности человека выполнение любой работы и решение любой проблемы всегда связано с использованием уже существующей и созданием новой информации. Важную роль при этом играют информационные процессы. Каждый информационный процесс имеет
конкретную цель воздействия на информацию и может быть реализован определенным методом (или набором методов) с применением технических средств. В автоматических системах информационный процесс может быть реализован без участия человека. Однако в автоматизированных системах обязательным соисполнителем информационного процесса является человек.
Информационная технология представляет собой систему методов и средств реализации информационных процессов, а также способов использования этих средств. Информационная технология должна быть ориентирована на снижение трудоемкости процессов использования информационного ресурса, а также повышение их надежности и оперативности. В организационных системах применяют автоматизированные информационные технологии, т. е. человеко-машинные технологии. Из всех видов человеко-машинных технологий информационные технологии сферы управления предъявляет самые высокие требования к " человеческому фактору", оказывая принципиальное влияние на квалификацию работника, содержание его труда, физическую и умственную нагрузку, профессиональные перспективы и уровень социальных отношений.
Информационные технологии многочисленны и многообразны. В литературе можно встретить типологические признаки, позволяющие упорядочить это множество. Среди них: по обслуживаемым предметным областям (бухгалтерский учет, банковская, налоговая, страховая деятельность
и др.), по степени охвата задач управления (экспертная поддержка, поддержка принятия решений, электронная обработка данных и др.), по ориентации на вид обрабатываемой информации (текстовая, графическая, мультимедийная и др.) и т. д. Наиболее распространенной является типология информационных технологий в соответствии с различием информационных процессов. При этом различают следующие типы технологий:
- сбора информации;
- передачи информации;
- накопления информации;
- обработки информации;
- хранения информации;
- представления информации;
- использования информации.
Описание каждого типа информационной технологии базируется на более широкой и детальной системе анализа их характеристик.
Конкретная информационная технология для своей реализации
предполагает наличие:
- комплекса соответствующих технических средств, реализующих сам информационный процесс;
- системы средств управления техническим комплексом (для вычислительной техники это программные средства);
- организационно-методического обеспечения, увязывающего реализацию всех действий технических средств и персонала в единый технологический процесс в соответствии с назначением конкретного информационного процесса в рамках обеспечения определенной функции управленческой деятельности.
Управленческая деятельность основана на реализации всех перечисленных видов информационных технологий в соответствии с последовательностью и содержанием отдельных этапов процесса принятия решений. Поэтому современные информационные технологии обеспечения управленческой деятельности основаны на комплексном использовании различных видов информационных процессов на базе единого технического комплекса, основой которого являются средства компьютерной техники.
Автоматизированная и неавтоматизированная обработка персональных данных
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. " Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Обработка персональных данных является неавтоматизированной, если
осуществляется при непосредственном участии человека.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель.
Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.
Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции " О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие " автоматизированный
файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, " автоматизированная обработка " включает следующие
операции, осуществляемые полностью или частично с помощью автоматизированных средств:
хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение,
поиск или распространение
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
-
другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера. В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и
иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.
Оператор персональных данных - это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных - это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
• категория 4 - обезличенные и (или) общедоступные персональные данные;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских
убеждений, состояния здоровья, интимной жизни.
II. Определить
объем персональных данных, обрабатываемых в информационной системе:
•
объем 3 - в информационной системе одновременно обрабатываются данные
менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
•
объем 2 - в информационной системе одновременно обрабатываются персональные данные
от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
•
объем 1 - в информационной системе одновременно обрабатываются персональные данные
более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных
типовой ИСПДн присваивается один из следующих
классов (см. табл.):
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;
• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
•класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для с
убъектов персональных данных;
Объем / Категория
| Объем 3 (< 1 000, организация)
| Объем 2 (1 000-100 000, отрасль, город)
| Объем1 (> 100 000, субъект Федерации)
|
Категория 4 (обезличенные, общедоступные)
| Класс 4
| Класс 4
| Класс 4
|
Категория 3 (идентификационные)
| Класс 3
| Класс 3
| Класс 2
|
Категория 2 (идентификационные и еще)
| Класс 3
| Класс 2
| Класс 1
|
Категория 1 (медицинские, социальные)
| Класс 1
| Класс 1
| Класс 1
|
•класс 1 (К1) — информационные системы, для которых нарушение заданной
характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия
или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации