Деякі практичні аспекти реалізації заходів захисту персональних даних під час їх обробки в інформаційних (автоматизованих) системах

dc.contributor.authorМервінський, Олексій
dc.contributor.authorЩербак, Микола
dc.contributor.authorMervinskiy, Oleksij
dc.contributor.authorScherbuck, Mykola
dc.contributor.authorМервинский, Алексей
dc.contributor.authorЩербак, Николай
dc.date.accessioned2014-09-08T09:28:48Z
dc.date.available2014-09-08T09:28:48Z
dc.date.issued2013
dc.description.abstractenDue to the Law of Ukraine "On information defence in the informational and telecommunicative systems" is envisaged that information with a limit access (to that the personal data are taken) must be processed in the informational and telecomunicative system (ІТS/IS) with application of the complex defence information system (CDIS) with the confirmed accordance. In the article requirements are studied in relation to the system of the personal data protection (PD) in Ukraine in such way that there were not be any contradiction was not between positions of European directives and requirements of legal documents of Ukraine and native normative documents of the system TID. By the order of Ukraine Ministry of Justice № 3659/5 the Typical order - minimum list of works that must be realized to the PD owners during organization of events from their defence is set. This order envisages application in ІТS/IS network protection fetch during treatment of PD, introduction of procedures of authorizing of workers, providing of anti-virus defence, and also the use of technical equipments of trouble-free feed of the cursored elements of ІТS/IS. A typical order takes into account Directives of 95/46/ЄС, 97/66/ЄС of Europian Parlament and Advice of Europe thus, that legal, normative and technical requirements, that regulate providing of defence, rights for physical persons and legal interests of legal entities, were clearly balanced and not create obstacles for market development. These events must not cause to the PD owner the large financial loading on creation of the systems of defence, but here to have the sufficient level of defence of ІТS/IS owner. An achievement of such balance is possible on condition of determining the limit and reasonable amount of requirements that does not prevent to development of the newest technologies and proper functioning of bases of PD, in particular the corporate codes of behavior (codes of practice) can be developed from treatment of PD, that expose the basic rules of PD system treatment and defence. These events must not cause to the PD owner the large financial loading on creation of the systems of defence of PD, but here to have the proper (sufficient) level of defence of ІТS/IS proprietor. An achievement of such balance is possible on condition of determining the limit and reasonable amount of requirements that does not prevent to the development of the newest technologies and proper functioning of PD bases, in particular the corporate codes of behavior (codes of practice) can be developed from PD treatment, that expose the basic rules of treatment and defence of PD system. Final choice of certain measures of defence, technical decisions and standards it is necessary that to follow of ІТС/ACE remains within the limits of competence of PD owner. Similarly in capacity of owner there is a direct estimation of security risks of data breaches. A typical order in general is not envisage the necessity of creation of DMC for the PD bases at their treatment in composition ІТS/IS. Simultaneously with the minim necessary of obligatory use of passwords that change regularly, Directives of 95/46/ЄС, 97/66/EU require also the regular revision of permissions. It is expedient also to extend the list of types of ІТS/IS, that process PD, for that it maybe to apply at Proprietor (Manager) is desire instead of state examination of КСЗІ procedure of analysis of information of declaration about accordance of IDCS to the requirements of normative documents from TID by the authorized central executive control on information defence question – by Administration of the state special communication.uk
dc.description.abstractruСогласно Закону Украины "О защите информации в информационно-телекоммуникационных системах" предусмотрено, что информация с ограниченным доступом (к которой отнесены и персональные данные) должна обрабатываться в информационно-телекоммуникационной (информационной) системе (ИТС/ИС) с применением комплексной системы защиты информации (КСЗИ) с подтвержденным соответствием. В статье обосновываются требования относительно системы защиты персональных данных (ПД) в Украине такого уровня, чтобы не существовало противоречия между положениями европейских директив и требованиями правовых и нормативных документов системы ТЗИ Украины. Приказом Минюста Украины № 3659/5 установлен Типовый порядок – минимальный перечень работ, какие необходимо реализовать владельцу ПД во время организации мероприятий по их защите. Этот порядок предусматривает использование в ИТС/ИС сетевой защиты от несанкционированного доступа во время обработки ПД, внедрение процедур авторизации работников, обеспечения антивирусной защиты а также использование технических средств бесперебойного питания элементов ИТС/ИС. Типовый порядок учитывает Директивы 95/46/ЕС, 97/66/ЕС Европарламента и Совета Европы таким образом, чтобы юридические, нормативные и технические требования, которые регламентируют обеспечение защиты ПД, прав физических лиц и законных интересов юридических лиц, были четко сбалансированными и не создавали препятствий для развития рынка. Данные мероприятия не должны вызывать у владельца ПД большие финансовые нагрузки на создание систем защиты ПД, но при этом иметь надлежащий (достаточный) уровень защиты ИТС/ИС владельца. Достижение такого баланса является возможным при условии определения ограниченного и обоснованного количества требований, которые не препятствуют развитию новейших технологий и надлежащему функционированию баз ПД, в частности могут разрабатываться корпоративные кодексы поведения (кодексы практики) по обработке ПД, которые системно раскрывают основные правила обработки и защиты ПД. Окончательный выбор конкретных мер защиты, технических решений и стандартов, которыми необходимо руководствоваться, архитектур ИТС/ИС остается в пределах компетенции владельца ПД. Так же в компетенции владельца находится и непосредственная оценка рисков нарушений безопасности данных. Типовым порядком вообще не предусматривается необходимость создания КСЗ в базах ПД при их обработке в составе ИТС/ИС. Одновременно с минимальной необходимостью обязательного использования паролей, которые регулярно изменяются, Директивы 95/46/ЕС, 97/66/ЕС также требуют регулярного пересмотра прав доступа. Целесообразно также расширить перечень видов ИТС/ИС, обрабатывающих ПД, для которых возможно применять по желанию их Владельца (Распорядителя) вместо государственной экспертизы КСЗИ процедуру анализа сведений декларации о соответствии КСЗИ требованиям нормативных документов системы ТЗИ уполномоченным центральным органом исполнительной власти по вопросам защиты информации – Администрацией Госспецсвязи.uk
dc.description.abstractukЗгідно з Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» передбачено, що інформація з обмеженим доступом (до якої віднесено і персональні дані) повинна оброблятися в інформаційно-телекомунікаційній (інформаційній) системі (ІТС/ІС) із застосуванням комплексної системи захисту інформації (КСЗІ) з підтвердженою відповідністю. В статті обґрунтовуються вимоги щодо системи захисту персональних даних (ПД) в Україні такого рівня, щоб не суперечить положеннями європейських директив і вимогами правових і нормативних документів системи ТЗІ України. Наказом Мініюсту України № 3659/5 встановлено Типовий порядок – мінімальний перелік робіт, які необхідно реалізувати володільцю ПД під час організації заходів із їх захисту. Цей порядок передбачає застосування в ІТС/ІС мережевого захисту від несанкціонованого доступу під час обробки ПД, впровадження процедур авторизації працівників, забезпечення антивірусного захисту, а також використання технічних засобів безперебійного живлення елементів ІТС/ІС. Типовий порядок враховує Директиви 95/46/ЄС, 97/66/ЄС Європарламенту та Ради Європи таким чином, щоб юридичні, нормативні та технічні вимоги, які регламентують забезпечення захисту ПД, прав фізичних осіб та законних інтересів юридичних осіб, були чітко збалансованими та не створювали перешкод для розвитку ринку. Дані заходи не повинні спричиняти володільцю ПД великі фінансові навантаження на створення систем захисту ПД, але при цьому мати належний (достатній) рівень захисту ІТС/ІС володільця. Досягнення такого балансу є можливим за умови визначення обмеженої та обґрунтованої кількості вимог, що не перешкоджають розвитку новітніх технологій та належному функціонуванню баз ПД, зокрема, можуть розроблятися корпоративні кодекси поведінки (кодекси практики) з обробки ПД, які системно розкривають основні правила обробки і захисту ПД. Остаточний вибір конкретних заходів захисту, технічних рішень та стандартів, якими необхідно керуватися, архітектур ІТС/АС залишається в межах компетенції володільця ПД. Так само в компетенції володільця знаходиться й безпосередня оцінка ризиків порушень безпеки даних. Типовим порядком взагалі не передбачується необхідність створення КЗЗ в базах ПД при їх обробці у складі ІТС/ІС. Одночасно з 95/46/ЄС, 97/66/ЄС також вимагають регулярного перегляду прав доступу. Доцільно також розширити перелік видів ІТС/ІС, що обробляють ПД, для яких можливо застосовувати за бажанням їх Власника (Розпорядника) замість державної експертизи КСЗІ процедуру аналізу відомостей декларації про відповідність КСЗІ вимогам нормативних документів з ТЗІ уповноваженим центральним органом виконавчої влади з питань захисту інформації – Адміністрацією Держспецзв’язку.uk
dc.format.pagerangeС. 33-38uk
dc.identifier.citationМервінський О. Деякі практичні аспекти реалізації заходів захисту персональних даних під час їх обробки в інформаційних (автоматизованих) системах / Олексій Мервінський, Микола Щербак // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні : науково-технічний збірник. – 2013. – Вип. 1(25). – С. 33–38. – Бібліогр.: 13 назв.uk
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/8554
dc.language.isoukuk
dc.publisherНТУУ "КПІ"uk
dc.publisher.placeКиївuk
dc.source.nameПравове, нормативне та метрологічне забезпечення системи захисту інформації в Україні: науково-технічний збірникuk
dc.status.pubpublisheduk
dc.subjectкримінологічна безпекаuk
dc.subjectзлочинністьuk
dc.subjectпричинністьuk
dc.subjectуправління ризикамиuk
dc.subjectоцінювання ризиківuk
dc.subject.udc35.078:342.738uk
dc.titleДеякі практичні аспекти реалізації заходів захисту персональних даних під час їх обробки в інформаційних (автоматизованих) системахuk
dc.title.alternativeSome practical aspects of procedures realization of the personal data protection are during their treatment in informative (automated) systemsuk
dc.title.alternativeНекоторые практические аспекты реализации мероприятий защиты персональных данных во время их обработки в информационных (автоматизированных) системахuk
dc.typeArticleuk
thesis.degree.levelmasteruk

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Вантажиться...
Ескіз
Назва:
25_p33.pdf
Розмір:
280.18 KB
Формат:
Adobe Portable Document Format
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
1.71 KB
Формат:
Item-specific license agreed upon to submission
Опис: