Автор работы: Пользователь скрыл имя, 05 Марта 2013 в 12:49, дипломная работа
Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.
Для достижения поставленной цели были сформулированы следующие задачи:
Рассмотреть основные понятия в области безопасности информационных технологий.
Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации от 21.07.1993 № 5485-1 «О государственной тайне». Условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение устанавливаются федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.
В Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» даны следующие определения:
1) информация - сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
4) информационно-
5) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и ее использование;
7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
8) предоставление информации — действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;
9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;
10) электронное сообщение - информация, переданная или полученная
пользователем по информационно-
11) документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных[7].
Согласно ст. 6 данного Федерального закона обладатель информации имеет право:
• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
• использовать информацию, в том числе распространять ее, по своему усмотрению;
• передавать информацию другим лицам по договору или на ином установленном законом основании;
• защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
• осуществлять иные действия с информацией или разрешать осуществление таких действий.
При этом обладатель информации обязан.
• соблюдать права и законные интересы иных лиц;
• принимать меры по защите информации;
• ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Кроме того, обладатель информации, оператор информационной системы, в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации,
модифицированной или
• постоянный контроль за обеспечением уровня защищенности информации.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.
Требование о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
Следует также отметить, что согласно ст. 8 не может быть ограничен доступ к:
• нормативным правовым актам, затрагивающим права, свободы и
обязанности человека и гражданина,
а также устанавливающим
• информации о состоянии окружающей среды;
• информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);
• информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;
• иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.
Например, ст. 5 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» гласит, что «режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений:
• содержащихся в учредительных документах юридического лица,
документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
• содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
• о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
• о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционированиям производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
• о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
• о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
• о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
• об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
• о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
• о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
• обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Кроме того, постановлением Правительства РСФСР от 05.12.1991 № 35 установлено, что коммерческую тайну предприятия и предпринимателя не могут составлять:
• учредительные документы и Устав;
• регистрационные удостоверения, лицензии, патенты;
• сведения по установленным формам отчетности о финансово-хозяйственной деятельности;
• документы о
• сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
• документы об уплате налогов и обязательных платежах;
• сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда;
• сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.
Также, постановлением Правительства Российской Федерации от 03.11.1994 № 1233 установлено, что не могут быть отнесены к служебной информации ограниченного распространения:
• акты законодательства, устанавливающие правовой статус государственных органов, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
• сведения о чрезвычайных ситуациях, опасных природных явлениях и процессах, экологическая, гидрометеорологическая, гидрогеологическая, демографическая, санитарно-эпидемиологическая и другая информация, необходимая для обеспечения безопасного существования населенных пунктов, граждан и населения в целом, а также производственных объектов;
• описание структуры органа исполнительной власти, его функции, направлений и форм деятельности, а также его адрес;
• порядок рассмотрения и разрешения заявлений, а также обращений граждан и юридических лиц;
• решение по заявлениям и обращениям граждан и юридических лиц, рассмотренным в установленном порядке;
• сведения об исполнении бюджета и использовании других государственных ресурсов, о состоянии экономики и потребностей населения;
• документы, накапливаемые в открытых фондах библиотек и архивов,
информационных системах организаций, необходимые для реализации прав, свобод и обязанностей граждан.
Перечень сведений конфиденциального характера определен в Указе Президента Российской Федерации от 06.03.1997 № 188 с изменениями от 23.09.2005 № 1111:
• сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
• сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации;
• служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
• сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
• сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» даны следующие определения:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;