Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Парадоксы законотворчества. Понятие как форма мышления. Часть 4

Парадоксы законотворчества. Понятие как форма мышления. Часть 4

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Парадоксы законотворчестваПонятие как форма мышления
Часть 4

Свойства реального объекта никогда не выявляются полностью. Как бы тщательно ни проводилось научное исследование объекта, мы не можем быть уверены, что знаем все его свойства.
Сергей Нагорный
независимый эксперт

Дадим определение объекту, представленному на рисунке.


В простейшем случае это система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций, то есть автоматизированная система. Учитывая определения понятия "система", вам предлагается определиться с объектом на рисунке с помощью терминов и определений, представленных в таблице.


Анализ истории научного знания показывает: человечество постоянно обнаруживает новые, ранее неизвестные свойства, казалось бы. хорошо изученных объектов.

Если в числе посылок умозаключения встречается ложная, то при соблюдении правил логики мы в заключение можем получить и истину, и ложь. Чтобы это показать, возьмем такое умозаключение: "Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации по требованиям безопасности информации". Основные принципы, организационная структура системы аттестации объектов информатизации по требованиям безопасности информации, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации".

Под системой в общефилософском смысле понимается "объединение некоторого разнообразия в единое и четко расчлененное целое, элементы которого по отношению к целому и другим частям занимают соответствующие им места". Из других определений, даваемых в философских словарях, также вытекает, что система - это объективное единство закономерно связанных между собой предметов и явлений.

("Положение о сертификации средств защиты информации по требованиям безопасности информации", утв. приказом Гостехкомиссии РФ от 27.10.1995 № 199.)

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям ИБ и подлежит государственной регистрации в установленном Госстандартом России порядке. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленные в "Аттестате соответствия". Под объектами информатизации, аттестуемыми по требованиям ИБ, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров. ("Положение по аттестации объектов информатизации по требованиям безопасности информации", утв. Гостехкомиссией РФ 25.11.1994.)

Обеспечение безопасности ПДн

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности персональных данных достигается, в частности:

В свое время Ф. Энгельс писал: "Если наши предпосылки верны и если мы правильно применяем к ним законы мышления, то результат должен соответствовать действительности..."
  • определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
  • применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивают установленные Правительством РФ уровни защищенности ПДн;
  • применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей ПДн;
  • обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
  • восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем  персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных").

Автоматизированная обработка ПДн

"Хотя мы говорим на каком-то определенном языке и используем определенные концепции, отсюда вовсе не обязательно следует, что в реальном мире имеется что-то этим вещам соответствую щее" (Р. Оппенгеймер).

Если принять во внимание, что "информация в зависимости от категории доступа к ней подразделяется на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)", и учитывая требования ст. 9 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" установившей, что "порядок доступа к персональным данным граждан (физических лиц) устанавливается Федеральным законом о персональных данных", можно сделать вывод: если информация ограниченного доступа обрабатывается в информационной системе, то требования, предъявляемые к автоматизированным системам, обрабатывающим информацию ограниченного доступа в части аттестации объектов информатизации по требованиям безопасности информации, на нее (информационную систему) не распространяются. А всего лишь разница в базах данных и персонале-операторе.

Если признать, что понятия "технические средства" и "средства вычислительной техники" нетождественны, то автоматизированная обработка ПДн может быть осуществлена исключительно в информационно-телекоммуникационной сети.

В связи с этим всплывает другой интересный аспект: под автоматизированной обработкой ПДн понимается обработка ПДн с помощью средств вычислительной техники. При этом "обработка ПДн, содержащихся в ИС персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека".

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2012

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"