Проблемы защиты информации в деятельности органов государственной власти

На мобилизационное управление возложена ответственность:

- ведение документации и хранение информации составляющей конфиденциальную информацию;

- защита информации составляющей конфиденциальную информацию.

На отдел автоматизированных систем возложена обязанность:

- организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

На управление кадров и муниципальной службы, общий отдел при содействии контрольно - правового управления возложена обязанность:

- хранение и ведение документации по личному составу, трудовых книжек и личных дел;

- защита персональных данных работников организации.

Работники Администрации района, имеющие доступ к персональным данным, осуществляют обработку:

1) персональных данных граждан;

2) персональных данных работников Администрации.

Доступ к конфиденциальной информации данным имеют только работники Администрации района в соответствии с утвержденным списком.

Рассмотрим на базе Администрации МО "Карагайский район" Пермского края наиболее распространённый вид конфиденциальной информации - персональные данные и их порядок обработки.

В состав персональных данных входят:

- ФИО;

- дата рождения;

- адрес места жительства;

- паспортные данные;

- социальное положение;

- состав семьи;

- сведения о доходах;

- сведения о собственности;

- номер счета;

- размер субсидии;

- адрес электронной почты;

- телефон.

Обработка персональных данных - это получение, хранение, комбинирование, передача или любое другое использование персональных данных.

Основанием для обработки персональных данных граждан являются их обращения в Администрацию района с приложением соответствующих документов, определенных Федеральным законом "О порядке рассмотрения обращений граждан РФ", Жилищным кодексом Российской Федерации, Градостроительным кодексом Российской Федерации, Земельным кодексом Российской Федерации.

Работник Администрации района осуществляет обработку персональных данных граждан посредством автоматизированных информационных систем.

Гражданин, обратившийся в Администрацию района, имеет право на беспрепятственный доступ к документированной информации (персональным данным) о себе, в том числе к информации, находящейся на машиночитаемых носителях, на уточнение этой информации в целях обеспечения ее полноты и достоверности, а также имеет право знать, кто и в каких целях использует или использовал эту информацию, кем и кому она представлена.

Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Администрации района и в том объеме, который позволяет не разглашать излишние сведения о носителях персональных данных.

Передача информации, содержащей сведения о персональных данных граждан, по телефону, факсу, электронной почте запрещается.

Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа для входа в операционную систему и автоматизированные системы обработки персональных данных.

Под персональными данными работников Администрации понимается информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни работника позволяющая идентифицировать его личность.

3.2 Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края

К основным проблемам, с которыми сталкиваются органы местного самоуправления при организации защиты конфиденциальной информации, можно отнести:

1. Большой объем обрабатываемых персональных данных различных категорий.

2. Большой объем нормативных документов, подлежащих к доработке в рамках создания системы защиты конфиденциальной информации.

3. Низкая степень автоматизации процессов обработки информации вследствие недостаточно развитой информационной инфраструктуры.

4. Недостаточное финансирование расходов, связанных с технической защитой муниципальных информационных систем.

Наличие проблем, связанных с техническим обеспечением защиты конфиденциальной информации касаются как технических средств, так и программного обеспечения, в первую очередь, системного. Эта проблема осознается ведущими странами Европы и Азии, которые ищут альтернативу продукции Майкрософта в разработке национальных программных продуктов на основе систем с открытым кодом. Подобные разработки необходимы и России, заказчиком которых, несомненно должно быть государство. Исследователи обращают внимание на то, что емкость рынка информационных компьютерных технологий в России увеличивается за счет закупки импортных технологий, при этом уменьшается доля отечественных технологий на рынке.

Также существуют проблемы регламентации работы сотрудников с персональными данными на основании внутренних распорядительно-методических документов.

Постановлением Правительства РФ от 21 марта 2012 г. № 211 определено, что государственные или муниципальные органы, обрабатывающие персональные данные, обязаны принять ряд документов, среди которых:

- правила обработки персональных данных, определяющие для каждой цели обработки персональных данных содержание обрабатываемых данных, категории субъектов, данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

Так как определенную долю в утечке конфиденциальной информации имеет "человеческий фактор" необходимо более четкая нормативно-методическая регламентация организации обработки ПДн (персональных данных). Среди основных факторов, способствующих неправомерному распространению персональных данных можно выделить:

- отсутствие необходимых компетенций по работе с персональными данными в службе кадров;

- отсутствие системы мотивации сотрудников;

- отсутствие навыков организации защиты информации, в т.ч. и персональных данных, в процессе совещаний, переговоров, публичных выступлений;

- незнание современных технологий обработки персональных и конфиденциальных сведений и т.д.

Недостаточная "проработка" организационных мер, направленных на защиту персональных данных, может способствовать образованию каналов утечки (утраты) персональной информации работников. К таким каналам относятся:

- утеря или неправильное уничтожение документа, пакета с документами, личного дела, иных конфиденциальных записей, содержащих персональные данные;

- излишняя разговорчивость сотрудника с коллегами по работе, родственниками, друзьями, с иными лицами, особенно в общественных местах (важно отметить, что переход информации от сотрудника Администрации к постороннему лицу - явление достаточно распространенное, хотя и не всегда приемлемое);

- работа с документами ограниченного доступа при посторонних лицах, а также несанкционированная передача их другому сотруднику;

- использование сведений ограниченного доступа в открытой документации, публикациях, интервью, личных записях, дневниках;

- наличие в повседневных документах информации ограниченного доступа;

- самовольное копирование сотрудником информации из кадровой документации в личных целях.

Каждый работник Администрации (гражданский и служащий) должен быть ознакомлены с Положением и методическими указаниями по организации обработки и защите персональных данных и личной ответственности под роспись. Также следует ограничить доступ сотрудников и пользователей информационных систем к персональным данным.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании "Перечня лиц, допущенных персональным данным", а также необходимо взять с данных лиц обязательство о неразглашении персональных данных ставших известными им, в следствии выполнения служебных обязанностей в письменном виде.

Для повышения эффективности защиты конфиденциальной информации в целом и персональных данных в частности в Администрации района необходима разработка документации в соответствии с Постановлением Правительства РФ от 21 марта 2012 г. № 211. В перечень документов могут войти:

1.Приказы:

- о назначении ответственного за организацию обработки ПДн;

- о назначении ответственного (ных) за обеспечение безопасности ПДн с наделением их полномочий по проведению всех мероприятий, касающихся организации защиты ПДн;

- об установлении Перечня лиц, допущенных к обработке ПДн;

- о возложении персональной ответственности на сотрудников, имеющих отношение к обработке ПДн. Внесение соответствующих изменений и дополнений в должностные инструкции.

Заключение

Теоретический анализ литературы по исследуемой в дипломной работе проблеме позволил сделать следующие выводы:

Конфиденциальная информация - это информация, доступ к которой имеет ограниченный круг лиц, не подлежащая как предоставлению - передаче определенному кругу лиц, так и распространению - передаче неопределенному кругу лиц. Любая несанкционированная передача конфиденциальной информации нарушает установленный режим конфиденциальности и снижает ценность такой информации (значимой в силу неизвестности ее третьим лицам). Распространенная конфиденциальная информация полностью теряет свою ценность как объект права для ее обладателя. Предоставленная третьим лицам информация теряет часть такой ценности. Общество как обладатель информации не заинтересовано ни в первом, ни во втором.

Отношения по поводу информации в целом и конфиденциальной информации в частности, регулируются правом.

При работе с конфиденциальной информацией государственные и негосударственные структуры руководствуются нормативно-правовыми актами РФ, внутренними положениями о работе с документацией ограниченного доступа. Несоблюдение организации работы с конфиденциальной информацией может стать причиной её утечки.

В соответствии с Законом №152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

В курсовой работе были предложены рекомендации по организации защиты персональных данных в Администрации района. Эти рекомендации относятся как к техническому, так и к нормативному регулированию защиты ПДн. Однако стоит отметить, что разработка и внедрение любого мероприятия требует определенных финансовых затрат. Например, выделение должностного лица, ответственного за организацию защиты ПДн, предусматривает расходы на поиск и привлечение специалиста определенной квалификации, введение его в штатную единицу Администрации (заработная плата). Высокие затраты предусматривает также анализ и модернизация ИТ.

Следовательно, повысить эффективность защиты как конфиденциальной информации в целом, так и ПДн в частности на уровне муниципального органа самоуправления возможно, ещё и при условии государственной финансовой поддержки.

В заключении следует заметить, что недостаточное исполнение требований ФЗ "О персональных данных" и Постановления правительства может повлечь для Администрации района следующие риски:

1. Жалобы и иски со стороны субъектов ПДн - граждан, клиентов или работников учреждения.

2. Приостановка или прекращение обработки персональных данных в учреждении.

3. Привлечение руководителя и иных должностных лиц учреждения к административной, уголовной, гражданской, дисциплинарной и иных видов ответственности.

4. Репутационные риски для муниципальных органов власти, допустивших разглашение или утечку персональных данных граждан.

Список используемой литературы

1. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: Топ-персонал, 2008. 363 с.

2. Алексенцев А.И. Организация и технология размножения конфиденциальных документов / А.И. Алексенцев. 2003. № 4. С.12 - 14.

3. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2008. С. 16, С.19.

4. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2010. С. 121.

5. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25-30.

6. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2004.

7. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО "Юстицинформ" 2009. С. 344.

8. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2009. № 1. С. 78-84.

9. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции "Новые информационные технологии и системы". 2010. С. 223-228.

10. Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2006. № 10. С.36.

11. Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2009. № 2. С. 2-9.

12. Гришачев В.В., Халяпин Д.Б., Шевченко Н.А. Опасности возникновения каналов утечки конфиденциальной информации по волоконно-оптическим структурированным кабельным системам // Материалы X Международной научно-практической конференции "Информационная безопасность". 2008. С. 103-105.

13. Данилов А.Д. Ценность информации // Технологии информационного общества. 2011. № 10. С. 137-140.

14. Дутов В. Предотвращение утечек информации // Управление рисками организации. 2010. № 3. С. 3-5.

15. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА. Закон и право 2011. 335 с.

Размещено на Allbest.ru