Анализ, оценка и определение проблемы защиты информации государственной информационной системы

Введение
В современном мире хищение данных является одной из наиболее опасных и частых проблем в области защиты информации. Ежегодно данные миллионов пользователей оказываются похищенными, после чего они подвергаются распространению в сети Интернет, продаже и использованию в преступных целях. Получить несанкционированный доступ к информации злоумышленники могут посредством специальных технических средств, программного обеспечения, приемов социальной инженерии, а так же множеством других способов. Нередко доступ к конфиденциальной информации осознанно открывают внедренные или завербованные компаниями конкурентами сотрудники компаний.
Кампании, направленные на хищение конфиденциальных данных посредством неправомерного доступа к компьютерам и сетям крупных организаций, приносят преступникам крупную денежную прибыль. Так, согласно отчету «Лаборатории Касперского», участники организованной преступной группировки «Carbanak», действующей с 2013 года, похитили более миллиарда долларов у различных финансовых учреждений посредством незаконного доступа к их корпоративным сетям.
Однако количество и масштаб подобных инцидентов растет не только за счет очевидной рентабельности преступного бизнеса, основанного на хищении персональных данных, но и в силу распространения инструментов для осуществления действий подобного рода. За счет активной конкуренции лиц, осуществляющих написание и поддержку вредоносного программного обеспечения, подобные продукты становятся более доступными, а детальные инструкции и обсуждения на тематических ресурсах в сети Интернет позволяют произвольному лицу оперативно получить необходимые знания для их использования.
Тема настоящей работы – анализ, оценка и определение проблемы защиты информации в государственных информационных системах. Стоит определить, что наибольшее число защищаемой информации в таких системах – персональные данные.
Улучшение ситуации в поле защиты персональных данных возможно в случае создания прозрачной правовой и нормативной базы, а также формирования культуры защиты персональных данных на всех уровнях Российского общества в целом. Первые шаги к этому сделаны в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных».
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Основные термины
С целью пояснения данного понятия необходимо провести его трактовку, которая дана в текущем законодательстве.
В соответствии со статьей 3 пунктом 1 персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). [1]
Также необходимо сделать акцент на процедуре обработки персональных данных, развернув это определение в рамках настоящей работы, а также привести определение оператора. Данные понятия описаны также в Федеральном законе № 152-ФЗ «О персональных данных» от 27.07.2006 г.
В соответствии со статьей 3 пунктом 3 оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. [1]
В соответствии со статьей 3 пунктом 2 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. [1]
Дополнительные термины
Также в рамках данного закона определен ряд понятий, который необходимо привести в тексте данного курсового проекта с целью их конкретизации.
В соответствии со статьей 3 пунктом 4 автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; [1]
В соответствии со статьей 3 пунктом 5 распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; [1]
В соответствии со статьей 3 пунктом 6 предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; [1]
В соответствии со статьей 3 пунктом 7 блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); [1]
В соответствии со статьей 3 пунктом 8 уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; [1]
В соответствии со статьей 3 пунктом 9 обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; [1]
В соответствии со статьей 3 пунктом 10 информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; [1]
В соответствии со статьей 3 пунктом 11 трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. [1]
Данные понятия в значительной степени определяют и конкретизируют вопросы, затрагивающие аспекты персональных данных в Российской Федерации, а также их обработку, уничтожение, и прочие процедуры

. Так как в настоящей работе необходимо описать организацию и контроля за персональными данными в Российской Федерации, приведение данных понятий существенно облегчит задачу усвоения материала.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Федеральное законодательство
В Российской Федерации вступил в силу Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», который регулирует на законодательном уровне все вопросы по защите и контролю персональных данных. Данный нормативный правовой акт, содержащий положения по обеспечению сохранности персональных данных, является актуальным длявыполнения своих задач большинством организаций. В подавляющем большинстве сего дня персональные данные обрабатываются, циркулируя в информационных системах. К информационным системам обработки персональных данных могут быть отнесены кадровые, бухгалтерские системы, банковские информационные системы, а также системы учета трафика операторов связи и даже такие небольшие системы, как автоматизированные системы бюро пропусков.
Невыполнение компаниями требований Закона «О персональных данных» может привести к административной, гражданско-правовой, дисциплинарной и уголовной ответственности. Организация, осуществляющая обработку персональных данных с нарушением установленных законом требований, может понести ответственность по гражданским искам субъектов персональных данных, в случае утечки этих данных.
Мероприятия по защите персональных данных. Оценка и определение проблемы
Проблема защиты информации, а именно персональных данных в государственных информационных системах – ненадлежащее исполнение должностными лицами установленных правил. Необходимо расписать порядок, благодаря которому будет данная проблема устраняться.
С целью приведения существующего порядка обработки персональных данных в соответствие с требованиями, установленными действующим законодательством, организация, владеющая государственной информационной системой, обязана провести ряд мероприятий:
Направить в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций извещение о том, что организация является оператором, обрабатывающим персональные данные;
Разработать формы соглашения об обработке персональных данных и получить согласие каждого субъекта на обработку его персональных данных, заверенное собственноручной или цифровой подписью субъекта;
Разработать и документально оформить техническое описание информационных систем обработки персональных данных, прописав в документе информацию о назначении, составе данных, правовые основания для обработки персональных данных, а также список сотрудников, имеющих доступ к персональным данным субъектов;
Создать перечень регламентирующих документов, в которых должна быть описана модель угроз и способы защиты персональных данных в случае несанкционированного доступа к персональным данным;
Реализовать безопасность персональных данных техническими, программными, организационными и законодательными средствами и их сочетанием;
При необходимости, в соответствии с законодательством РФ, пройти аттестацию в проверяющих органах на соответствие систем защиты персональных данных требованиям Закона «О персональных данных».
КОНТРОЛЬ И НАДЗОР ЗА ПЕРСОНАЛЬНЫМИ ДАННЫМИ В ГОСУДАРСТВЕННЫХ ИНФОРМЦИОННЫХ СИСТЕМАХ
Персональные данные по типу осуществления контроля и надзора за ними разделяются на циркулирующие в государственных информационных системах и в негосударственных информационных системах. В соответствии со статьей 3 пунктом 7 контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при обработке персональных данных в государственных информационных системах осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.[1]
В данном случае федеральный орган исполнительной власти, уполномоченный в обеспечении безопасности – это территориальный орган Федеральной службы безопасности Российской Федерации, на подразделения которого возложены функции по контролю и надзору за персональными данными в информационных системах госучреждений, которые вверены данному территориальному органу для обслуживания. Так, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации является территориальное подразделение Федеральной службы по техническому и экспертному контролю, в свою очередь осуществляющее подобные вышеописанным функциям.[2]
В целом схему контроля и надзора за персональными данными можно представить на рисунке 1.
Рисунок 1. Схема контроля и надзора за персональными данными
ПРОВЕДЕНИЕ ПРОЦЕДУРЫ КОНТРОЛЯ УПОЛНОМОЧЕННЫМИ ОРГАНИЗАЦИЯМИ ЗА ИНФОМАЦИЕЙ В ГОСУДАРСТВЕННЫХ ИНФОРМЦИОННЫХ СИСТЕМАХ
В первую очередь при начале процедуры проверки в рамках осуществления контроля и надзора уполномоченными сотрудниками, необходимо установить, существует ли оператор, обрабатывающий персональные данные, в реестре операторов персональных данных Роскомнадзора. Получить эту информацию можно в открытых источниках, например на сайте Роскомнадзора, необходимо ввести ИНН компании.
Следующий этап заключается в проверке внутренних предписывающих документов: приказов, инструкций, проверке необходимых журналов. Все это определяет сотрудникам оператора методику обеспечения защитыперсональных данных в процессе работы. Предписания должны регламентировать не только автоматизированную обработку персональных данных, но и обработку персональных данных на аналоговых носителях, так как обработка персональных данных ведется не только в электронном, но и бумажном виде.[5]
Следующим шагом при проведении проверки стоит затребовать приказ о назначении ответственного сотрудника за организацию защиты обрабатываемых персональных данных