Автоматизированная и неавтоматизированная обработка персональных данных
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный.
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Обработка персональных данных является неавтоматизированной, если осуществляется при непосредственном участии человека.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10].
Пункты 1 и 2 Постановления РФ помогают решить вопрос о том, какие системы являются автоматизированными, а какие нет. Процитируем их:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой Системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.
Для более детального определения автоматизированной системы обработки ПД обратимся к Конвенции "О защите физических лиц при автоматизированной обработке ПД" от 28 января 1981 года. Данный документ вводит понятие "автоматизированный файл " – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, " автоматизированная обработка " включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11].
Особенности обеспечения безопасности персональных данных в автоматизированных системах
Автоматизированные системы обработки информации (АС) в общем случае классифицируются по следующим признакам:
1. наличие в АС информации различного уровня конфиденциальности;
2. уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
3. режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается 9 классов защищенности АС от несанкционированного доступа. Каждый класс характеризуется установленным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. [4]
Деление АС на классы производится в целях выбора оптимальных и достаточных мер защиты для достижения требуемого уровня защищенности.