Новини
Проводимо паралелі або як захищати персональні дані
20 липня 2012
У кожної людини є персональні дані і тільки вона може вирішувати, як ними розпоряджатися: надавати їх для обробки, ділитися ними з іншими, або взагалі викласти в вільний доступ в Інтернеті.
Проте, є ситуації, коли без надання своїх даних неможливо скористатися законними привілеями: отримати кредит, влаштуватися на роботу, або вступити до навчального закладу. В цих, чи інших, випадках з фізичної особи будуть вимагати передачі її персональних даних, а в представленій для заповнення анкеті буде чітко вказана мета обробки наданої інформації.
Отже для фізичної особи процедура надання своїх персональних даних зрозуміла. Які ж дії потрібно виконати юридичній особі, що ці персональні дані збирає для обробки? Згідно з Законом України «Про захист персональних даних» будь-яка дія з базою персональних даних в інформаційній (автоматизованій) системі та/або в картотеках персональних даних вимагає від її володільця побудови відповідного захисту, але не розкриває його механізмів.
Найчастіше фізичній особі доводиться надавати для обробки дані її адреси, дати та місця народження, а це в сукупності з ПІБ є персональною, конфіденційною інформацією про фізичну особу, що встановлено ст. 11 Закону України «Про інформацію».
Ст. 4 Постанови Кабінету Міністрів України від 29 березня 2006 р. №373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» визначає, конфіденційна інформація про фізичну особу підлягає захисту.
Визначили – персональні дані являються конфіденційною інформацією та вимога їх захисту встановлена законом. У випадку їх обробки в інформаційній (автоматизованій) системі, ми маємо керуватися ст. 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», що вимагає від власника системи побудови комплексної системи захисту інформації (КСЗІ).
Ми підійшли до реалізації захисту інформації. КСЗІ це взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації. Побудова таких систем регулюється нормативними документами технічного захисту інформації, зокрема НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».
Розглянемо порядок дій на прикладі вищого навчального закладу (ЗВО) щодо збирання, обробки та захисту персональних даних.
Сьогодні важко уявити роботу приймальної комісії без використання автоматизованої системи (Для цих цілей НДІ ПІТ розроблена АС «Приймальна комісія».
Отже,
Для побудови КСЗІ рекомендуємо звертатися до професіоналів в цій області, адже це дуже трудомісткий процес, який вимагає глибоких знань в області технічного захисту інформації. Побудова розпочинається з аналізу середовища функціонування системи, написання технічного завдання, завершується проведенням державної експертизи з подальшою видачею Атестату відповідності КСЗІ вимогам технічного захисту інформації.
НДІ ПІТ займається побудовою КСЗІ будь-якої складності. Наш багаторічний досвід дає змогу віднайти індивідуальне рішення, врахувавши всі побажання та потреби замовника.
Проте, є ситуації, коли без надання своїх даних неможливо скористатися законними привілеями: отримати кредит, влаштуватися на роботу, або вступити до навчального закладу. В цих, чи інших, випадках з фізичної особи будуть вимагати передачі її персональних даних, а в представленій для заповнення анкеті буде чітко вказана мета обробки наданої інформації.
Отже для фізичної особи процедура надання своїх персональних даних зрозуміла. Які ж дії потрібно виконати юридичній особі, що ці персональні дані збирає для обробки? Згідно з Законом України «Про захист персональних даних» будь-яка дія з базою персональних даних в інформаційній (автоматизованій) системі та/або в картотеках персональних даних вимагає від її володільця побудови відповідного захисту, але не розкриває його механізмів.
Найчастіше фізичній особі доводиться надавати для обробки дані її адреси, дати та місця народження, а це в сукупності з ПІБ є персональною, конфіденційною інформацією про фізичну особу, що встановлено ст. 11 Закону України «Про інформацію».
Ст. 4 Постанови Кабінету Міністрів України від 29 березня 2006 р. №373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах» визначає, конфіденційна інформація про фізичну особу підлягає захисту.
Визначили – персональні дані являються конфіденційною інформацією та вимога їх захисту встановлена законом. У випадку їх обробки в інформаційній (автоматизованій) системі, ми маємо керуватися ст. 8 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», що вимагає від власника системи побудови комплексної системи захисту інформації (КСЗІ).
Ми підійшли до реалізації захисту інформації. КСЗІ це взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації. Побудова таких систем регулюється нормативними документами технічного захисту інформації, зокрема НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі».
Розглянемо порядок дій на прикладі вищого навчального закладу (ЗВО) щодо збирання, обробки та захисту персональних даних.
Сьогодні важко уявити роботу приймальної комісії без використання автоматизованої системи (Для цих цілей НДІ ПІТ розроблена АС «Приймальна комісія».
Отже,
- При прийомі абітурієнта оператор приймальної комісії має отримати згоду на обробку персональних даних.
- Володілець бази персональних даних (ЗВО) має чітко визначити мету обробки цих даних та затвердити документ «Порядок обробки персональних даних в базі персональних даних» та зареєструвати базу в ДСЗПД.
- Власник інформаційно-телекомунікаційної системи (ЗВО) має забезпечити належний захист конфіденційної інформації (в даному випадку персональних даних абітурієнтів). Оскільки дані обробляються в автоматизованій системі – потрібна побудова КСЗІ.
Для побудови КСЗІ рекомендуємо звертатися до професіоналів в цій області, адже це дуже трудомісткий процес, який вимагає глибоких знань в області технічного захисту інформації. Побудова розпочинається з аналізу середовища функціонування системи, написання технічного завдання, завершується проведенням державної експертизи з подальшою видачею Атестату відповідності КСЗІ вимогам технічного захисту інформації.
НДІ ПІТ займається побудовою КСЗІ будь-якої складності. Наш багаторічний досвід дає змогу віднайти індивідуальне рішення, врахувавши всі побажання та потреби замовника.